Telefon: 233 - 28261Telefon: 233 - 28264Telefax: 233 - 28606

Datenschutzbeauftragter

Tätigkeitsbericht des Datenschutzbeauftragtender Landeshauptstadt Münchenfür den Zeitraum vom 01.01.2008 bis 31.12.2009

Sitzungsvorlage Nr. 08-14 / V 04494

Bekanntgabe in der Vollversammlung des Stadtrates vom 06.10.2010Öffentliche Sitzung

I. Vortrag des Referenten

Inhaltsverzeichnis1. Zusammenfassung..............................................................................................................................................................22. Einzelne Tätigkeitsbereiche..............................................................................................................................................................5

A. Datenschutzrechtliche Freigabeverfahren gemäß Art. 26 BayDSG.........................................................................................................................................................5B. Externen- und PJD-Verfahren.......................................................................................................................................................14C. Mitwirkung in städtischen Gremien und Arbeitskreisen.......................................................................................................................................................15D. Erfahrungsaustausch mit anderen Datenschutzbeauftragten.......................................................................................................................................................16E. Unbegründete Beschwerden.......................................................................................................................................................16F. Begründete Beschwerden.......................................................................................................................................................19G. Datenschutzrechtliche Prüfungen.......................................................................................................................................................22

Seite 2

1. Zusammenfassung

Nach Art. 25 Abs. 2 Bayerisches Datenschutzgesetz (BayDSG) hat die Stadt München als öf-fentliche Stelle einen ihrer Beschäftigten zum behördlichen Datenschutzbeauftragten zu be-stellen, der der Leitung der öffentlichen Stelle oder deren ständigen Vertretung unmittelbar un-terstellt und in seiner Eigenschaft als behördlicher Datenschutzbeauftragter weisungsfrei ist. Er kann sich in Zweifelsfällen unmittelbar an den Landesbeauftragten für den Datenschutz wenden und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden (Art. 25 Abs. 3 BayDSG).

Aufgabe des behördlichen Datenschutzbeauftragten ist es, auf die Einhaltung des Daten-schutzgesetzes und anderer Vorschriften über den Datenschutz in der öffentlichen Stelle hin-zuwirken (Art. 25 Abs. 4 Satz 1 BayDSG). Nach Art. 26 BayDSG erteilt er ferner die daten-schutzrechtliche Freigabe von automatisierten Verfahren, mit denen personenbezogene Da-ten verarbeitet werden (Art. 26 Abs. 1 Satz 1 i. V. m. Abs. 3 Satz 2 BayDSG) und führt das behördliche Verfahrensverzeichnis nach Art. 27 BayDSG. Weitere Aufgaben des Städtischen Datenschutzbeauftragten sowie Zuständigkeiten anderer Stellen der Stadtverwaltung für die Wahrnehmung von Datenschutzaufgaben sind in der Geschäftsanweisung für den Daten-schutz (DS-GAM) geregelt.

In der Landeshauptstadt München ist eine Planstelle der Besoldungsgruppe A 15 für den be-hördlichen Datenschutzbeauftragten vorgesehen, die vom Leiter der Rechtsabteilung des Di-rektoriums in Personalunion wahrgenommen wird. Die Vertretung und Sachbearbeitung wird von einer Juristin in A 15 wahrgenommen.

Des weiteren verfügen die Referate zur Unterstützung des Städtischen Datenschutzbeauftrag-ten über zurzeit insgesamt 20 seinem fachaufsichtlichen Weisungsrecht unterliegende sog. örtliche Datenschutzbeauftragte, die dafür jeweils mit unterschiedlichen Zeitanteilen tätig sind. Sie haben die Aufgabe, spezielle datenschutzrechtliche Fragen aus den Referaten (z. B. Aus-länderrecht, Sozialrecht), die sich bei stadtinternen Anfragen bzw. bei Bürgerbeschwerden stellen, ggf. in Zusammenarbeit mit dem städtischen Datenschutzbeauftragten zu bearbeiten.

Der Städtische Datenschutzbeauftragte sowie die örtlichen Datenschutzbeauftragten haben jedoch keinerlei Weisungsrechte gegenüber den Dienststellen. Ihre Tätigkeit beschränkt sich auf die Beratung datenschutzrechtlicher Fragen und deren Bewertung. Bei Konfliktfällen ist der behördliche Datenschutzbeauftragte zu informieren, der, falls erforderlich, seinerseits den Oberbürgermeister in Kenntnis zu setzen hat.

Schwerpunkte im Berichtszeitraum waren insbesondere datenschutzrechtliche Fragen bei der Videoüberwachung, ausgelöst durch eine Entscheidung des Bundesverfassungsgerichts, und die Gewährleistung des Datenschutzes in komplexen technischen Verwaltungsverfahren, wie z. B. LiMux und Dokumentenmanagement (im Einzelnen s. unter 2.)

Seite 3

A. Datenschutzrechtliche Freigabeverfahren gemäß Art. 26 BayDSG

Nach Art. 26 Abs. 1 Satz 1 Bayerisches Datenschutzgesetz - BayDSG - bedarf der erstmalige Einsatz von automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet wer-den, der vorherigen schriftlichen Freigabe durch die das Verfahren einsetzende öffentliche Stelle. Dies gilt ebenso für wesentliche Änderungen von Verfahren, Art. 26 Abs. 1 Satz 3 BayDSG.

Vor dem Einsatz oder der wesentlichen Änderung eines automatisierten Verfahrens haben öf-fentliche Stellen ihren behördlichen Datenschutzbeauftragten eine Verfahrensbeschreibung zur Verfügung zu stellen, Art. 26 Abs. 3 BayDSG. Die Angaben, die dabei zu tätigen sind, sind in Art. 26 Abs. 2 Ziffer 1-9 BayDSG aufgelistet. Nach deren Prüfung erteilt dann der städtische Datenschutzbeauftragte die datenschutzrechtliche Freigabe. Innerstädtisch ist das Verfahren in der Geschäftsanweisung für den Datenschutz bei der Landeshauptstadt München - DS-GAM - geregelt. Als Anlage 2 ist dort die Verfahrensbeschreibung enthalten, mit der die ge-setzlich geforderten Angaben angefordert werden. Weiterhin ist als Anlage 3 eine allgemeine Beschreibung der eingesetzten Datenverarbeitungsanlagen und der technischen und organi-satorischen Maßnahmen nach Art. 7 und 8 BayDSG bzw. als Anlage 4 eine allgemeine Be-schreibung der eingesetzten Videoaufzeichnungsanlagen und der technischen und organisa-torischen Maßnahmen nach Art. 21 a Abs. 6 i. V. m. Art. 7 und 8 BayDSG im Intranet einge-stellt. Danach müssen die jeweiligen Fachdienststellen, die den Neueinsatz oder die wesentli-che Änderung automatisierter Verfahren in diesem Sinne planen, die in der DS-GAM zur Ver-fügung gestellten Formblätter ausfüllen und über ihre örtlichen Datenschutzbeauftragten, die die Vorprüfung übernehmen, dem behördlichen Datenschutzbeauftragten zur Erteilung der Freigabe zuleiten.

Im Berichtszeitraum erfolgten 52 Freigabeverfahren.

B. Externen- und PJD-Verfahren

Nach der Geschäftsanweisung für die Technikunterstützte Informationsverarbeitung bei der Landeshauptstadt München - INFO-GAM - Ziffer 3 werden IT-Projekte u. a. durch Beteiligte aus den Querschnitts- und Steuerungsbereichen begleitet. Dazu zählt auch der Datenschutz-beauftragte. Aufgrund dieser Regelung wurde der städtische Datenschutzbeauftragte in vielen sog. PJD-Verfahren zu Rate gezogen, bei denen es bereits im Vorfeld vor geplanten Beschaf-fungen oder sonstiger IT-Maßnahmen darum geht, diese auch datenschutzgerecht auszuge-stalten. Sofern keine personenbezogenen Daten betroffen sind, ist im Anschluss kein daten-schutzrechtliches Freigabeverfahren erforderlich, so dass die diesbezüglichen Fragen nur im Rahmen dieser PJD-Verfahren geklärt werden können.

In der Regel erfolgt auch bei sog. Externenverfahren die Beteiligung des städtischen Daten-schutzbeauftragten im Rahmen von PJD-Verfahren (s. im Einzelnen unter 2.B).

Seite 4

C. Mitwirkung in städtischen Gremien und Arbeitskreisen

Für den behördlichen Datenschutzbeauftragten der Landeshauptstadt München ist in den je-weiligen Geschäftsordnungen und Stadtratsbeschlüssen eine Teilnahme an den Sitzungen verschiedener Gremien und Arbeitskreise vorgesehen. Außer der Vorbereitung anhand der übersandten Unterlagen mussten verschiedentlich Stellungnahmen zu datenschutzrechtlichen Fragestellungen erarbeitet, zum Teil auch vorgetragen werden, z. B. zum neuen strafrechtli-chen Verbot des Besitzes so genannter Hackertools gemäß § 202 c StGB im Unterarbeits-kreis Datensicherheit, zu den aufgrund des neuen Art. 21 a BayDSG - Videoüberwachung – erforderlichen Änderungen im Arbeitskreis Informationsmanagement, zur Stellung des Daten-schutzbeauftragten beim geplanten IT-Dienstleister für MIT-KonkreT etc. Es waren außerdem die einschlägigen Beschlussentwürfe datenschutzrechtlich zu überprüfen, z. B. zur Anpassung von Standards durch das LiMux-Projekt.

D. Erfahrungsaustausch mit anderen Datenschutzbeauftragten

Im Vorfeld der unter 2.D genannten Sitzungen waren jeweils die Themen vorzubereiten bzw. bei den örtlichen Datenschutzbeauftragten aktuelle Probleme nachzufragen, sowie die Ergeb-nisse wiederum an den Kolleginnen- und Kollegenkreis weiterzugeben.

E. - F. Beschwerden

Es gab im Berichtszeitraum 87 datenschutzrechtliche Beschwerden von Bürgerinnen und Bür-ger, die unmittelbar beim städtischen Datenschutzbeauftragen eingingen, davon 29 Be-schwerden, die die Stadt gar nicht betroffen haben, 58 Beschwerden, die die Stadt zwar be-troffen haben, aber unbegründet waren. Die unbegründeten Beschwerden gegen die Stadt werden unter dem Gliederungspunkt E, die begründeten unter F gesondert behandelt.

Bei den Beschwerden, die inhaltlich die Stadt nicht betrafen, konnten die Beschwerdeführer an die zuständigen Stellen verwiesen werden. Betroffen von solchen Beschwerden waren häufig Stellen außerhalb des öffentlichen Bereichs, für die in Bayern das Bayerische Landes-amt für Datenschutzaufsicht in der Regierung von Mittelfranken zuständig ist. Die mangelnde Möglichkeit des behördlichen Datenschutzbeauftragten, gegen Privatpersonen (z. B. Google) vorzugehen, ist häufig schwer zu vermitteln, zumal die Zuständigkeit einer Behörde in Ans-bach für Münchner Bürgerinnen und Bürger nicht leicht verständlich ist.

G. Datenschutzrechtliche Prüfungen

In zahlreichen Fällen, die unter keine der oben dargestellten Tätigkeiten gerechnet werden können, erfolgte eine Beratung durch den städtischen Datenschutzbeauftragten. Dabei ging es teilweise um mündliche, teilweise um schriftliche Auskünfte, die Bearbeitung von Stadtrats-anfragen und Anträgen, das Erstellen von Gutachten, Schreiben an inner- und außerstädti-sche Stellen, Stellungnahmen zu Gesetzesvorhaben sowie zu von anderen Dienststellen ge-fertigten Beschlussvorlagen.

Erfasst wurden für die Jahre 2008 und 2009 insgesamt 321 derartige Arbeiten.

Seite 5

2. Einzelne Tätigkeitsbereiche

A. Datenschutzrechtliche Freigabeverfahren gemäß Art. 26 BayDSG

Im Rahmen der datenschutzrechtlichen Freigabe wurden u. a. folgende Verfahren ge-prüft:

1. Verfahren zum Vollzug des Infektionsschutzgesetzes - Meldung von Eigentümern und Nutzungsberechtigten von mit Ratten befallenen Grundstücken

Mittels einer Änderungsmeldung zum bereits bestehenden Verfahren waren neue Betroffene für diesen besonderen Vorfall aufzunehmen.

2. UVG-Adressdatei

Die bislang bestehende Excel-/Calc-Tabelle mit Adressen von Betroffenen nach dem Unterhaltsvorschussgesetz wurde in eine Webanwendung umgeändert.

3. Psyprax

Zu Abrechnungszwecken mit der Kassenärztlichen Vereinigung waren die Schutz-stufen und die Skala des Schutzstufensystems sowie die technischen Maßnahmen im Rahmen eines Freigabeverfahrens zu prüfen.

4. Pro-LBK

Im Rahmen des Verfahrens der Lokalbaukommission zur Unterstützung der Bauge-nehmigungsverfahren gab es Änderungswünsche sowie Klärungsbedarf bezüglich nutzungsberechtigter Personengruppen. Das Verfahren ist noch nicht abgeschlos-sen.

5. KOFUE, FUE-WEB

Das Kommunale Führerscheinverfahren wurde auf webbasierte Basis umgestellt.

6. TIZIAN

Bei dem Projekt TIZIAN handelt es sich um ein landesweit verbindlich vorgeschrie-benes Verfahren zur Unterstützung der Kontrolleure im Bereich der Lebensmittel-überwachung.

Die Ausweitung der Lebensmittelkontrolle wurde zum Schutz des Grundrechts auf Unversehrtheit von Leben und Gesundheit der Bürgerinnen und Bürger vom Gesetzgeber vorgenommen. Dieses ist als höher rangig zu beurteilen als das durch die Datenschutzregeln zu schützende Grundrecht auf informationelle Selbstbestim-mung. Die Lebensmittelskandale der vergangenen Jahre belegen die Notwendigkeit zur Erweiterung der Lebensmittelkontrolle und deren Qualitätssicherung durch Gewährleistung einer ausreichenden Prüfdichte.

Seite 6

Da die staatlicherseits erteilten landesweiten Freigaben für kommunale Dienststel-len nicht gültig sind, musste hier ein eigenes Freigabeverfahren durch die Landes-hauptstadt durchgeführt werden. In diesem Rahmen war des weiteren wegen der mit dem mobilen Einsatz verbundenen besonderen Risiken der Einsatz von Laptops zu beurteilen.

Die Erfahrungen hiermit wurden auch im Treffen der kommunalen Datenschutzbe-auftragten vom April 2009 interkommunal besprochen. Im Allgemeinen wird das System als sehr hilfreich für die Lebensmittelkontrolleure angesehen und positiv bewertet.

Nach Einführung von TIZIAN stellten sich weitere Probleme in der Praxis heraus. So war strittig, ob und bis zu welcher Ebene Vorgesetzte auf die Daten in TIZIAN zugreifen dürfen und in welchem Umfang diese Zugriffsrechte eventuell einge-schränkt werden können oder müssen. Die Verpflichtung zur Festlegung eines Berechtigungskonzepts beruht letztlich auf einem der vom Bundesverfassungsge-richt im Volkszählungsurteil 1983 festgelegten Leitlinien, nämlich dem Grundsatz der informationellen Gewaltenteilung. Danach ist es nicht zulässig, die Behörde als eine Einheit anzusehen mit der Folge, dass alle Beschäftigten dieser Behörde im Sinne einer Informationseinheit in gleicher Weise zur Datennutzung berechtigt wären. Deshalb dürfen auch innerhalb der Stadtverwaltung immer nur diejenigen Personen die Daten nutzen, die sie zu ihrer Aufgabenerfüllung konkret benötigen.

Diese Problematik konnte in Zusammenarbeit mit dem örtlichen Datenschutzbeauf-tragten des Personal- und Organisationsreferats dahingehend gelöst werden, dass zur Qualitätssicherung und zur Personaleinsatzplanung Direktzugriffe bis zu einer höheren Führungsebene notwendig sind. Im Rahmen der Fürsorgepflicht gegen-über den ihnen unterstellten Personen sind die Vorgesetzten darauf angewiesen, umfassend in die Vorgänge Einsicht nehmen zu können, um Über- sowie Unterfor-derungen ihrer Mitarbeiterinnen und Mitarbeiter zu verhindern. Soweit damit eine gleichmäßige Häufigkeit und Intensität der Prüfungen der betroffenen, Lebensmittel verarbeitenden Betriebe gewährleistet wird, sind die Führungskräfte auch sachbear-beitend tätig. Die Einsichtnahme in die einzelnen Fälle ist daher im Rahmen der Aufgabenerfüllung notwendig.

7. Videoüberwachung

Bereits vor dem Berichtszeitraum hatte das Bundesverfassungsgericht am 23.02.2007 anlässlich eines Vorfalls in Regensburg entschieden, dass die Rechts-grundlagen des Bayerischen Datenschutzgesetzes nicht ausreichen, um darauf eine kommunale Videoüberwachung im öffentlichen Bereich zu stützen. Es gab dar-aufhin Initiativen aus dem Stadtrat, eine flächendeckende Videoüberwachung im öffentlichen Raum und in Verkehrsmitteln zu verhindern und durch andere Sicher-heitskonzepte zu ersetzen sowie die bereits vorhandenen Videokameras im eigenen Betrieb oder im Betrieb städtischer Gesellschaften zu überprüfen und ggf. abzu-schalten.

In der Folgezeit kam es auch zu weiteren Anfragen und Anträgen zum Thema Videoüberwachung seitens des Stadtrats, z. B. im Zusammenhang mit dem Sicher-heitskonzept der MVG oder der Videoüberwachung des Orleansplatzes (s.a. u.G Nr. 56). Diese sind allerdings nicht von der Landeshauptstadt München vorgenom-men worden, so dass dafür der städtische Datenschutzbeauftragte nicht zuständig war.

Seite 7

Zu den rechtlichen und tatsächlichen Gegebenheiten nach dieser Entscheidung des Bundesverfassungsgerichts wurde auch seitens des städtischen Datenschutzbeauf-tragten ausführlich Stellung genommen (vgl. zu den Einzelheiten Antrag Nr. 02-08/A03604 der Stadtratsfraktion Bündnis 90/DIE GRÜNEN/RL vom 22.03.2007 sowie Beschluss des gemeinsamen Kreisverwaltungsausschusses und des Aus-schusses für Arbeit und Wirtschaft vom 17.07.2007 (SB), Vorlagen-Nr.: 02-08/V10414).

In verschiedenen Gesprächen mit dem Bayerischen Staatsministerium des Inneren und dem Bayerischen Landesbeauftragten für den Datenschutz konnte übereinstim-mend festgelegt werden, dass keine sofortige Überprüfung und Abschaltung der vorhandenen Videoüberwachungsanlagen erforderlich war, da bereits auf Landes-ebene eine entsprechende gesetzliche Änderung vorbereitet wurde. Dabei wurden auch von Seiten des städtischen Datenschutzbeauftragten Vorschläge zur Neufas-sung des Gesetzes gemacht.

Das Gesetz wurde dann zum 01.07.2008 in Kraft gesetzt. Es regelt in Art. 21a BayDSG detailliert die Voraussetzungen, unter denen die Videoüberwachung zuläs-sig ist. In seinem Abs. 6 ist außerdem, wenn die Videoaufnahmen gespeichert wer-den, ein vorher durchzuführendes datenschutzrechtliches Freigabeverfahren vorgesehen.

Des Weiteren wurden allgemeine Regelungen und Muster für die Freigabeverfahren von Videoüberwachungsanlagen, eine Änderung der DS-GAM sowie insbesondere eine neue Anlage 4 für die „Allgemeine Beschreibung der technischen und organi-satorischen Maßnahmen bei Videoüberwachungsanlagen” erarbeitet und im Intra-net den betroffenen Dienststellen zur Verfügung gestellt. Bei dieser Gelegenheit wurden auch Änderungen der erforderlichen Angaben in der Anlage 2 zur DS-GAM „Verfahrensbeschreibung” vorgenommen. Diese Änderungen waren innerstädtisch abzustimmen und wurden im Erfahrungsaustausch mit den örtlichen Datenschutz-beauftragten der Landeshauptstadt besprochen sowie im Arbeitskreis Informations-management - AKIM - vorgestellt.

Von einer interkommunalen Arbeitsgruppe, an der auch die Landeshauptstadt Mün-chen teilgenommen hat, wurdei eine Checkliste entwickelt als Basis dafür, wie Videoanlagen auf ihre Zulässigkeit überprüft werden können. Auch dieses Prüfungs-schema ist inzwischen im Intranet eingestellt und kann von allen betroffenen Dienst-stellen zur Vorabprüfung benutzt werden.

Inzwischen liegen verschiedenste Freigabeanträge aus den Dienststellen zu den dort vorhandenen Überwachungsanlagen vor, die aber im Berichtszeitraum noch nicht abschließend behandelt werden konnten, da in vielen Einzelfällen Nachfragen und Prüfungen sowie die Klärung des Sachverhalts und der rechtlichen Vorausset-zungen erforderlich waren. Über die Ergebnisse wird im Einzelnen im nächsten Tätigkeitsbericht berichtet.

Bereits im Berichtszeitraum waren viele Vorfragen zu klären, z. B. wo und wie die Kennzeichnungspflicht nach Art. 21 a Abs. 2 BayDSG durchzuführen ist, wie mit Videokamera-Attrappen umzugehen ist, wer jeweils als Herr des Verfahrens anzu-sehen ist, ob bei Übertragung an private Sicherheitsdienste eine Auftragsdatenver-arbeitung vorliegt usw. Auch von dritter Seite, beispielsweise aus anderen Kommunen, aber auch vom Polizeipräsidium München, kamen hierzu Nachfragen

Seite 8

und mussten behandelt werden. Zugleich war ein ständiger Kontrakt mit den örtli-chen Datenschutzbeauftragten sowie deren Beratung erforderlich. Außerdem musste geklärt werden, ob hier unter Umständen eine Mitbestimmungspflicht nach dem BayPVG gegeben ist, wobei allerdings die Zuständigkeit für den Abschluss von Dienstvereinbarungen beim Personal- und Organisationsreferat liegt.

8. Freigabe der Internetseiten der Landeshauptstadt München

Aufgrund einer europarechtlichen Entscheidung (EuGH v. 06.11.2003, C-101/01) und einer entsprechenden Empfehlung seitens des Landesbeauftragten bzw. des Innenministeriums wurde der Internetauftritt der Landeshauptstadt in datenschutz-rechtlicher Hinsicht überprüft. Dabei wurde festgestellt, dass in vielen Fällen auch personenbezogene Angaben vorhanden sind, wie etwa Ansprechpartner, Kontakte zu Dritten usw. Daher war auch für den Internetauftritt der Landeshauptstadt ein datenschutzrechtliches Freigabeverfahren durchzuführen. In diesem Rahmen muss-ten die örtlichen Datenschutzbeauftragten jeweils für ihre Referate und Dienststellen überprüfen, welche personenbezogenen Daten eingestellt worden sind und mittels Verfahrensbeschreibung melden, wobei hier der Portalgesellschaft für ihre koordi-nierende Unterstützung zu danken ist. Die Freigabe konnte nach Prüfung mit Ergän-zungen erteilt werden.

9. Elb@

Für die vom Sozialreferat an Eltern kleinerer Kinder versendeten Informationsbriefe wurde eine Webanwendung erstellt und konnte unproblematisch freigegeben wer-den.

10. Dokumentenmangementsystem - DMS - Domea - Münchenstandard - eGov-Suite + Bayern + MUC

An die Einrichtung eines Dokumentenmanagementsystems sind auch datenschutz-rechtliche Anforderungen zu stellen. In diesem Zusammenhang wurde ein Gutach-ten der städtischen IT-Sicherheitsbeauftragten zur Sicherheit des städtischen Netzes eingeholt. Nach dessen Ergebnis kann beim Standardsystem auf die Ver-schlüsselung jedenfalls für Daten mit normalem Schutzbedarf verzichtet werden, da die physikalische Trennung des städtischen Netzes eine solche Sicherheitsmaß-nahme entbehrlich erscheinen lässt und technische Gründe dagegen sprechen, zumal nach den bislang verfügbaren Versionen des Anbieters eine Verschlüsselung nicht möglich ist.

Außerdem war datenschutzrechtlich zu klären, ob die Standardvariante als solches oder deren jeweilige Einsatz freizugeben ist. Ergebnis war, dass es sich beim Doku-mentenmanagementsystem um eine Bürosoftware vergleichbar den Standardoffice-produkten handelt, die nicht stadtweit freigegeben werden kann. Es ist bei Installation des Standards noch nicht bekannt, ob und welche personenbezogenen Daten hiermit verarbeitet werden, wer zugriffsberechtigt ist oder Betroffener. Somit muss datenschutzrechtlich die Freigabe in jedem Teilbereich, der ein Dokumenten-managementsystem einsetzen will, beurteilt und geprüft werden.

Seite 9

11. Verfahren PA-CP

Die Einführung des automatisierten Verfahrens Personalkostenplanung und -simula-tion - PA-CP - wurde datenschutzrechtlich begleitet. Obwohl es sich dabei um ein reines Planungsinstrumentarium handelt, mit dem beispielsweise die Entwicklung der Personalkosten unter bestimmten Voraussetzungen, etwa tariflichen Erhöhun-gen o. ä. berechnet und kalkuliert werden kann, sind Daten mit Personenbezug doch denkbar. Dies gilt insbesondere, wenn die Kostenstellen über einen lediglich geringen Personalbestand verfügen, so dass eine Reidentifikation möglich ist. Dies konnte durch Zusammenfassungen nach entsprechender Beratung aber daten-schutzrechtlich korrekt gestaltet und somit als Änderungsmeldung zum bereits ein-gesetzten System der Verarbeitung von Personaldaten - paul@ - freigegeben werden.

12. KiTa-Vormerksoftware

Diese Software zur Unterstützung der Vormerkungen von Kindern für die Aufnahme in Kindertageseinrichtungen konnte freigegeben werden.

Dieses Verfahren des Sozialreferats konnte ebenfalls unproblematisch freigegeben werden.

13. Feinstaubplaketten

Das Kreisverwaltungsreferat hat die Online-Beantragung von Feinstaubplaketten, die für die Einfahrt in die Umweltzone erforderlich sind, ermöglicht. Das Verfahren konnte freigegeben werden.

14. Orbis/SAP

Aufgrund einer Anfrage des Personalreferats konnte bestätigt werden, dass bei die-sem Verfahren der Import von Befragungsteilnehmer- und Dozentendaten zur Durchführung eines Bildungscontrollings sowie einer Evaluationssoftware als uner-hebliche rein technische Änderung nicht erneut freigegeben werden musste.

15. IDA - eGov-Suite + Bayern + MUC/ABH -

Im Kreisverwaltungsreferat der Landeshauptstadt wurde als erstes ein Integriertes Vorgangs- und Dokumentenmanagementsystem bei der Ausländerbehörde - IDA - eingeführt. Dieses konnte letztlich freigegeben werden, wobei aber vorab eine umfangreiche datenschutzrechtliche Beratungsarbeit nötig war. Die Umstellung auf ein papierloses elektronisches Verfahren setzt das Einscannen der Ausländerakten voraus, das von einem privaten Unternehmen vorgenommen wurde.

Aufgrund einer anonymen Beschwerde kam es zu einer Prüfung durch den Landes-beauftragten für Datenschutz. Die dabei festgestellten Anregungen des Landesbe-auftragten sind noch nicht abschließend umgesetzt. Verschiedene andere Mängel konnten aber bereits abgestellt werden, z. B. die festgestellte mangelhafte Sicher-heit des Aktentransports in unverschlossenen Behältern.

Seite 10

Die grundsätzliche Zulässigkeit der Auftragsdatenverarbeitung, auch soweit es um Sozialdaten in den Ausländerakten geht, wurde aber bereits vom Landesbeauftrag-ten bestätigt.

16. Sorgerechtsregister

Dieses Register des Sozialreferats konnte freigegeben werden.

17. EWO-C/S (Pamela)

Die Verfahrensbeschreibung der Einwohnermeldedatei, EWO-C/S (Pamela), wurde um weitere Dienststellen ergänzt, an die Einwohnermeldedaten übermittelt werden.

18. Kassensoftware Münchner Museen

Die Beschaffung einer neuen Kassensoftware für Städtische Museen konnte ohne weitere Probleme freigegeben werden.

19. Seminarverwaltungssoftware

Das Sozialreferat benötigte eine EDV-Unterstützung für die Seminarverwaltung. Die Freigabe war möglich.

20. Klientenverzeichnis

Auch die erforderlichen Klientenverzeichnisse für die Drogenberatung sowie die Alkohol-/Medikamentenberatung des Sozialreferats konnte freigegeben werden.

21. Freigaben für Verfahren des Referats für Gesundheit und Umwelt

Das Referat für Gesundheit und Umwelt benötigte für eine Reihe von Verzeichnis-sen und Verfahren im Bereich der Gesundheitsvorsorge verschiedene Verfahren, die jeweils freigegeben werden konnten:

– Gesundheitsgefährdende Tiere und Pflanzen– MuKi - Programm der Landesstiftung „Hilfe für Mutter und Kind”– Untersuchung von Personen mittels Tuberkulinhauttestung vor Aufnahme in eine

Gemeinschaftsunterkunft– Listen sonstiger Tbc-exponierter Kontaktpersonen– Ermittlung, Untersuchung, Überwachung und Beratung von Klienten nach Infekti-

onsschutzgesetz - IfSG– Erfassung von Angehörigen gesetzlich geregelter Heilberufe, deren Praxen infekti-

onshygienisch bzw. berufsaufsichtlich überprüft werden/wurden– Erfassung von Angehörigen gesetzlich geregelter Heilberufe sowie von Anbietern

und Erbringern ambulanter krankenpflegerischer Leistungen– Erfassung von Daten Verstorbener aus Todesbescheinigung– Erfassung von Betreibern und Nutzern von Trinkwasserversorgungsanlagen– Erfassung von Ärztinnen und Ärzten mit Erlaubnis zur Vornahme von Schwanger-

schaftsabbrüchen (einschließlich des Erwerbs und der Anwendung hierfür zuge-lassener Arzneimittel)

– Mitarbeiterlisten für Personalberichte sowie Fortbildungen bei der Bestattung

Seite 11

– Patientenliste nach Gesundheitsdienst- und Verbraucherschutzgesetz - GDVG-Fälle

– Elektronische Archivierung von Einzelberichten– Überwachung der Pflegedienste– Metadon-Programm / Vollzug Betäubungsmittelgesetz und Betäubungsmittelver-

ordnung– Überwachung der Praxen von Heilpraktikern– Verfahren Vollzug des Heilpraktikergesetzes - eingeschränkte Heilpraktikerprü-

fung

22. FIDOK

Das Flächeninformations- und Dokumentationssystem des Planungsreferats konnte ebenso freigegeben werden wie ein Adressmanager, den das Referat benötigte.

23. Kursanmeldung

Im Direktorium wurde die Möglichkeit zur elektronischen Kursanmeldung für Fortbil-dungsveranstaltungen eingeführt, was unproblematisch freigegeben werden konnte.

24. Bewerberdatenbank

Diese Datenbank konnte nach umfangreicher datenschutzrechtlicher Beratung und Prüfung der Notwendigkeit einer Speicherung der Daten auch von nicht zum Zuge gekommenen Bewerbern freigegeben werden.

25. Modellprojekt im Kindergarten

Das Referat für Gesundheit und Umwelt führt ein Modellprojekt zur Legasthenieprä-vention im Kindergarten durch. Die dafür erforderliche DV-technische Unterstützung konnte freigegeben werden.

26. Mailaccounts für Nachwuchskräfte

Nach § 2 Abs. 2 Ziffer 4 Datenschutzverordnung – DSchV - ist keine Freigabe erfor-derlich für Telefon-, Telefax- und sonstige Kommunikations- und Teilnehmerver-zeichnisse. Beim städtischen WDA-/LDAP handelt es sich um ein solch internes Verzeichnis. Daher mussten Zugriffe im WDA-/LDAP auf die Mailaccounts für Nach-wuchskräfte in der Ausbildung nicht freigegeben werden.

27. LÄMMkom

Bei diesem vom Sozialreferat eingesetzten Verfahren ergab die Prüfung anlässlich einer entsprechenden Anfrage, dass die Speicherung von Druckausgaben keine wesentliche, erneut freizugebende Änderung darstellt.

28. WisWiki

Aufgrund einer Beschwerde seitens der Personalvertretung der vom Kulturreferat betreuten Münchner Stadtbibliothek wurde „WisWiki“ hinsichtlich der datenschutz-rechtlich erforderlichen Freigabe geprüft. Dabei handelt es sich, wie bei Wiki's gene-rell, um eine von den Betroffenen selbst erstellte Wissensdatenbank, also ein

Seite 12

elektronisches Nachschlagewerk. In diesem Fall sollte Mitarbeiterinnen und Mitar-beitern die Möglichkeit eingeräumt werden, ihren Lebenslauf, ihre berufliche Her-kunft, aber auch, persönliche Vorlieben, besondere Fähigkeiten u. ä. nach eigener Einschätzung einzustellen.

Seitens der Befürworter des WisWiki wurde dargelegt, dass damit bei der Kunden-beratung in der Bibliothek jederzeit die betreffenden Kolleginnen und Kollegen anhand des WisWiki recherchieren könnten, wer im Personal am Besten geeignet wäre, die gewünschten Auskünfte an die Bürgerinnen und Bürger zu erteilen. Es gab aber auch datenschutzrechtliche Einwendungen der Betroffenen. Der örtlichen Datenschutzbeauftragten des Personal- und Organisationsreferats äußerte eben-falls gewisse Bedenken. Nach einer entsprechenden Nachfrage bei der Leitung der Münchner Stadtbibliothek wurde das Vorhaben dann eingestellt.

29. vi@Bau

Dieses Verfahren wird vom Baureferat federführend unter Beteiligung anderer Dienststellen als Projekt durchgeführt. Es handelt sich um ein Spartenkoordinations-verfahren, um Baumaßnahmen im öffentlichen Bereich zwischen verschiedenen Maßnahmeträgern abzustimmen. Auf das zu beschaffenden System sollen inner-städtische Dienststellen wie etwa Kreisverwaltungsreferat und Baureferat zugreifen, aber auch außerstädtische Stellen wie Polizei, Stadtwerke, Betreiber von Netzen für Strom, Gas, Wasser u. ä.

Hier sind eine Reihe von datenschutzrechtlichen Fragen und Problemen zu lösen gewesen, insbesondere im Hinblick auf das grundsätzliche Verbot des Versands von personenbezogenen oder sonstigen sensiblen Daten per E-Mail. In der ein-schlägigen Dienstanweisung zur Nutzung von Intranet/Internet und E-Mail heißt es in Teil 2, Ziffer 4.3.1: „Die unverschlüsselte Übermittlung von schützenswerten Daten per E-Mail an Adressen außerhalb der E-Mail-Domäne @muenchen.de ist unzulässig, da es sich hierbei um einen ungeschützten Bereich handelt.“ Es konnte inzwischen über eine Ausnahmegenehmigung nach dieser Dienstanweisung eine für das Baureferat zufriedenstellende Lösung gefunden werden. Die weitere Durch-führung des Beschaffungsverfahrens ist damit möglich. Die datenschutzrechtliche Freigabe hierzu ist noch vor dem Einsatz des Verfahrens zu beantragen.

30. Mobilitätsmanagement

Im Rahmen des Projekts Mobilitätsmanagement, das seitens des Kreisverwaltungs-referats federführend aufgrund entsprechender Stadtratsbeschlüsse durchgeführt wird, um den öffentlichen Personennahverkehr zu fördern, gab es Teilbereiche, die eine datenschutzrechtliche Beratung erforderlich machten. Unter anderem musste die Einwohnermeldedatei - EWO-C/S (Pamela) - geändert werden, da Zugriffe im Rahmen der Neubürgerberatung und der Mobilitätsberatung für ältere Mitmenschen benötigt wurden. Ferner war es wegen der von Bürgern vermuteten Datenweiter-gabe an die MVG zu Beschwerden gekommen. Zwischenzeitlich konnten diese insoweit geklärt werden, als die Straßenverkehrsbehörde aufgrund einer gesetzli-chen Rechtsgrundlage berechtigt ist, Daten aus der Einwohnermeldedatei zu erhal-ten und diese im Rahmen einer Auftragsdatenverarbeitung an eine Firma weiterzugeben. Von dieser werden Neubürger sowie ältere Menschen im Rahmen des Mobilitätsmanagements angeschrieben, um sie mit entsprechendem Informati-onsmaterial über die Möglichkeiten des Nahverkehrs in München zu versorgen.

Seite 13

31. Reisepassbeantragung

Die vom Kreisverwaltungsreferat beantragte Freigabe für die digitale Antragstellung von Reisepässen konnte erteilt werden.

32. Benutzerblätter im Lesesaal

Dies gilt ebenso für das elektronische Verfahren des Direktoriums zum Führen der Benutzerblätter im Lesesaal, das mit einem Standortnachweis der ausgehobenen Archivalien verbunden war.

33. QS-SD-HP

Das datenschutzrechtliche Freigabeverfahren für das Verfahren Qualitätssicherung/Sozialpädagogische Diagnose/Hilfeplan des Sozialreferats erforderte weitere Nach-fragen und Ergänzungen, so dass es im Berichtszeitraum noch nicht abgeschlossen werden konnte.

34. FELIX

Das Fundamtsprogramm FELIX für das städtische Fundbüro, das beim Kreisverwal-tungsreferat angesiedelt ist, konnte freigegeben werden.

35. INSIGNIA

Dies gilt ebenso für das Verfahren des Kreisverwaltungsreferats zur Arbeitserleich-terung bei Verleihung von Ehrungen u. ä.

36. Veranstaltung 18.jetzt

Die Prüfung, ob für die Online-Anmeldung zur Veranstaltung 18.jetzt ein Freigabe-verfahren durchzuführen ist, konnte damit abgeschlossen werden, dass dies nicht erforderlich ist, da dabei weder eine Speicherung noch eine sonstige Verarbeitung stattfindet.

37. AUTISTA

Bei dem Verfahren des Kreisverwaltungsreferats sollte eine weitere Datenübermitt-lung stattfinden, die aber als nicht wesentliche Verfahrensänderung nicht daten-schutzrechtlich freizugeben war.

38. GAV-PRISMA

Das bisherige Personalverwaltungsprogramm GAV musste in PRISMA migriert wer-den. Eine formelle Freigabe der Einstellung des Altverfahrens war nicht erforderlich.

39. Elektronisches Abrechnungsverfahren für Stadtratsvergütungen

Bei Einführung der Möglichkeit, die Abrechnungen für die Stadträte elektronisch durchzuführen, entstand ebenfalls Beratungsbedarf.

Seite 14

B. Externen- und PJD-Verfahren

Der behördliche Datenschutzbeauftragter wurde im Berichtszeitraum bei 24 dieser nach-stehend näher beschriebenen Verfahren eingeschaltet.

1. PJD-Verfahren

Beispielhaft sei in diesem Zusammenhang das Verbundprojekt des Referats für Arbeit und Wirtschaft - Münchner Beschäftigungs- und Qualifizierungsprogramm (MBQ) - genannt. Dabei soll eine Datenbank aufgebaut werden für die Integrations-beratungsstellen (IBZ), Maßnahmeträger und städtische Dienststellen. Hier fanden mehrere Gespräche im Rahmen der Vorabstimmung statt.

Auch im Rahmen von PJD-Verfahren erfolgte die erforderliche Beteiligung und Zustimmung zur Genehmigung von Telearbeitsplätzen, solange sich dieses Projekt noch im Versuchsstadium befand. Nach Abschluss einer Dienstvereinbarung zur Telearbeit wurde diese Aufgabe zwischenzeitlich auf die örtlichen Datenschutzbe-auftragten übertragen. Über die dabei vorzunehmende Prüfung wurden diese in einer eigens einberufenen Sitzung informiert.

Ebenso wurde beispielsweise die Beschaffung von Notebooks statt Desktops im Rahmen eines solchen PJD-Verfahrens für den Sicherheitsdienst abgewickelt, sowie die Ausstattung der Brandschutzdirektion für die Feuerbeschau mit mobilen PCs.

Ein weiteres PJD-Verfahren ist erfolgt für den Zugriff der Geschäftsstelle des Aus-länderbeirates mit Antidiskriminierungsstelle - AMIGRA -. Aufgrund der Aufgaben-stellung dieser Stelle konnte deren Zugriff auf die Webdatenbank des Ausländeramtes ermöglicht werden, da es sich um ein Verfahren im Sinne von § 2 Abs. 2 Ziffer 7 DSchV - kein Freigabeerfordernis für Anschriftenverzeichnisse - han-delt.

Als weiteres Beispiel für eine Vorabstimmung im Rahmen eines PJD-Verfahrens kann die Bitte um Prüfung im Rahmen der Software-Beschaffung für das Beteili-gungsmanagement im Direktorium genannt werden.

Gelegentlich war auch bei der Einrichtung von Websites im Rahmen von PJD-Ver-fahren eine datenschutzrechtliche Beratung gewünscht. Zum Beispiel sollte zur Konferenz ”Zivilgesellschaft in Harare, Kiew und München” eine Website eingerich-tet werden, auf der auch Kurzportraits eingestellt werden sollten. Wegen der damit verbundenen personenbezogenen Daten wurde empfohlen, Einwilligungen der Betroffenen einzuholen.

Weiterhin entstand datenschutzrechtlicher Beratungsbedarf im Rahmen des PJD-Verfahrens zur Umsetzung der Europäischen Dienstleistungsrichtlinie mit Einrich-tung eines Einheitlichen Ansprechpartners (EAP) bei der geplanten technischen Umsetzung. Zwischenzeitlich konnte eine Lösung durch Einrichtung eines Web-Postfach-Services erreicht werden, von dem über eine sichere Leitung potentielle, sich an an den EAP wendende Dienstleister die für sie bestimmten, elektronisch bereit zu stellenden Informationen abrufen können.

Seite 15

2. Externenverfahren

Mit Beteiligung des behördlichen Datenschutzbeauftragten wurde ein Verfahren bei der Stadt München entwickelt, mit dem im Rahmen eines Workflows die Zulässig-keit eines Zugriffs von externen Personengruppen auf städtische Systeme zu prüfen ist. Dabei werden die Personalvertretung, der behördliche sowie der Datenschutz-beauftragte des Personal- und Organisationsreferats und die IT-Sicherheitsbeauf-tragte beteiligt. Dieses Verfahren ist erforderlich, da bei Zugang von Dritten zum städtischen Netz besondere Gefährdungslagen gegeben sind, die einer eigenen Prüfung und Dokumentation bedürfen.

Die betreffenden Dienststellen fertigen jeweils ein IT-Sammelprofil für alle Perso-nengruppen an, die zuvor als betroffen festgelegt wurden, und legen dieses den oben genannten Beteiligten zur Prüfung vor. Die konkreten Einzelpersonen, die jeweils tatsächlich Zugriffe erhalten, sind im Rahmen von Einzelprofilen zu doku-mentieren, die bei den Dienststellen verbleiben. Damit konnte eine Vereinfachung erreicht werden, da nicht mehr für jeden Einzelfall eine umfassende Prüfung durch alle o. g. beteiligten Stellen erforderlich ist. In Betracht kommen diese Verfahren ins-besondere bei Personengruppen, die sich nur vorübergehend bei der Stadt, etwa zu Ausbildungszwecken oder aus Wartungsgründen oder ähnlichem aufhalten. Aber auch für einzelne besondere Vorhaben, z. B. im Rahmen der 850-Jahr-Feier und der damals gebildeten Projektgruppe, kann externen Personen in beschränktem Umfang und für einen vorübergehenden Zeitraum ein entsprechender Zugriff gewährt werden.

C. Mitwirkung in städtischen Gremien und Arbeitskreisen

Der städtische Datenschutz war in folgenden Gremien vertreten:

1. Lenkungskreis „MIT-KonkreT” (Münchner IT-Konkretisierungsphase und TOP-Priori-ties)

In diesem Zusammenhang ist besonders die Klärung datenschutzrechtlicher Fragen beim Teilprojekt 10 (Errichtung eines städtischen IT-Eigenbetriebes) zu erwähnen. Beim Teilprojekt 11 des Programms MIT-KonkreT wurde der Datenschutzbeauf-tragte außerdem bei der Erarbeitung des sogenannten Einwertungsleitfadens einge-schaltet, mit dessen Hilfe durch Einwertung der bei der Stadt verarbeiteten Daten nach ihrer Sensibilität deren Schutzbedarf und die deswegen erforderlichen techni-schen und organisatorischen Maßnahmen beurteilt werden sollen.

2. Lenkungskreis „LiMux - Die IT-Evolution” (Projekt zur Einführung von freier Software bei der LHM)

3. Arbeitskreis Informationsmanagement - „AKIM”

4. Unterarbeitskreis Datensicherheit - „UAK DaSi”

Seite 16

5. Jour fixe mit der IT-Sicherheit

Aufgrund des sich abzeichnenden Bedarfs an einer stärkeren Zusammenarbeit zwi-schen Datenschutz und IT-Sicherheit wurde erstmalig Ende des Jahres 2009 ein Jour fixe zwischen IT-Sicherheits- und Datenschutzbeauftragten eingerichtet.

D. Erfahrungsaustausch mit anderen Datenschutzbeauftragten

Der städtische Datenschutzbeauftragte war in folgenden Gremien vertreten:

1. Treffen der Örtlichen Datenschutzbeauftragten der Landeshauptstadt München

2. Erfahrungsaustausch der Kommunalen Datenschutzbeauftragten Bayerns

3. Arbeitskreis Datenschutzbeauftragte im Deutschen Städtetag

4. Arbeitskreis Datenschutz und IT-Security in der Anwendervereinigung „SICUS“

Die Vertreterin des städtischen Datenschutzbeauftragten leitet seit 2008 diesen Arbeitskreis und nahm daher 2009 erstmalig auch an der Arbeitskreisleiter-Tagung in Düsseldorf teil.

E. Unbegründete Beschwerden

Als Beispiele für unbegründete Beschwerden gegen die Stadt seien genannt:

1. Mitarbeiterbeschwerde aus dem Sozialbereich wegen einer angeblich nicht ausrei-chenden Auskunftssperre im Einwohnermeldeverfahren Pamela, was sich nach ent-sprechender Recherche beim zuständigen Kreisverwaltungsreferat nicht bestätigte.

2. Beschwerde gegen das „Städtisches Grundbuchamt”

Tatsächlich war die betroffene Dienststelle das Bewertungsamt wegen Gutachtener-stellung und Herausgabe an einen Immobilienmakler. Eine Verletzung von Daten-schutzbestimmungen war nicht belegbar.

3. Beschwerde wegen Weitergabe von Daten an Marktforschungsunternehmen wegen Sozialticket

Die Weitergabe erfolgte zulässiger Weise im Rahmen einer Auftragsdatenverarbei-tung.

4. Verdacht der Weitergabe personenbezogener Daten bzw. Gewährung von Aktenein-sicht durch das Jugendamt an die Presse, was sich jeweils nicht bestätigte.

5. Übermittlung von Meldedaten Minderjähriger an eine Universität für eine Studie zur Lese- und Rechtschreibstörung durch das Einwohnermeldeamt, die durch die ein-schlägigen Melderechtsbestimmungen gerechtfertigt war.

Seite 17

6. Beschwerde wegen Öffnung von Beihilfeunterlagen

Diese war unbegründet, da im konkreten Fall keine unberechtigte Öffnung erfolgt war.

7. Beschwerde wegen Weitergabe eines jugendpädagogischen Gutachtens

Es lag eine Einverständniserklärung vor. Die Beschwerde betraf tatsächlich den angezweifelten Inhalt des Gutachtens, nicht die datenschutzrechtliche Zulässigkeit der Weitergabe.

8. Erstellen von Vorschlagslisten für Schöffen Die Verwendung der Wahlhelferlisten für diesen Zweck ist nach den gesetzlichen Regelungen unzulässig (vgl. Art. 6 Abs. 4 GLKrWG). Eine entsprechende Beschwerde war jedoch unberechtigt, da für die Schöffenliste nicht die Wahlhelfer-liste verwendet wird, sondern auf freiwillige Meldungen zurückgegriffen wird.

9. Unbegründete Beschwerde wegen Speicherung personenbezogener Daten im Rah-men des Führungsdialogs.

10. Anfrage zur Gültigkeit des Datenschutzes bei der Unterhaltsberechnung

Die beanstandeten Nachfragen seitens städtischer Mitarbeiter waren im Rahmen der Aufgabenerfüllung erforderlich und daher gerechtfertigt.

11. Beschwerde einer Gemeinschaftspraxis über die Datenverarbeitung bei Anträgen auf Parkerleichterung bei Parklizenzierung nach § 45 StVO

Diese Datenverarbeitung war zur Bewilligung von Erleichterungen in diesem Verfah-ren erforderlich und daher zulässig.

12. Datenerhebungen im Zusammenhang mit dem Luftreinhalte-/Aktionsplan für die Stadt München

Die Vorlage eines ärztlichen Attestes als Voraussetzung für die Erteilung einer Aus-nahmegenehmigung war für die Bearbeitung des Antrags erforderlich und daher datenschutzrechtlich zulässig.

13. Beschwerde gegen Erhebung von Daten zur Veranlagung zur Zweitwohnungssteuer und die damit verbundenen Datenübermittlung zwischen Stadtkämmerei und Kreis-verwaltungsreferat/Meldebehörde, die aufgrund des Vorliegens einer gesetzlichen Befugnis gerechtfertigt war.

14. Beschwerde wegen angeblicher Weitergabe von Baumfällungsanträgen an eine Gartenbaufirma

Es konnte nicht geklärt werden, wie die Firma an die Daten des Antragstellers gelangte; eine Datenweitergabe durch städtische Stellen konnte ausgeschlossen werden.

Seite 18

15. Datenaustausch zwischen ARGE und Zulassungsstelle

Die Überprüfung der Angaben von Antragstellern, ob Kraftfahrzeuge auf sie zugelas-sen sind, ist im Rahmen der Antragsbearbeitung auf Sozialleistungen notwendig. Der Datenaustausch war somit zulässig.

16. Datenschutzrechtliche Anfrage zur Einsicht in Anträge an Bezirksausschüsse oder bei Bürgerversammlungen, die dahingehend beantwortet wurde, dass dies durch Unbeteiligte nicht zulässig sei.

17. Videoüberwachung auf Privatgrund neben einer Straßenfläche

Es lag keine Datenschutzverletzung durch die Stadt vor, wenn auch öffentlicher Straßengrund teilweise betroffen war, da die Installation und der Betrieb der bean-standeten Videokamera nicht von der Stadt erfolgte.

18. Auskunftsersuchen über gespeicherte Daten bei der Landeshauptstadt München gemäß Art. 10 BayDSG

In den drei Fällen im Berichtszeitraum wurden die Antragsteller um nähere Erläute-rung gebeten, wo innerhalb der Stadtverwaltung Daten über sie gespeichert sein könnten und dann die jeweils zuständigen örtlichen Datenschutzbeauftragten einge-schaltet. Manche Antragsteller reagieren auf diese Verfahrensweise allerdings ver-ständnislos, da sie meinen, dass der städtische Datenschutzbeauftragte direkt auf alle bei der Stadt München vorhandenen automatisierten Verfahren zugreifen kann, was jedoch nicht der Fall ist.

19. Einsichtnahme in Leumundszeugnis/Bundeszentralregister durch Betroffene

Da es keinen entsprechenden Anspruch des Betreffenden gab, konnte der Beschwerde nicht abgeholfen werden.

20. Anforderung auf Vorlage von unveränderten Kontoauszügen bei einem Wohn-geldantrag

Da die Wohngeldstelle überzeugend darlegen konnte, dass die geltend gemachten Einnahmen und Ausgaben nur anhand ungeschwärzter Kontoauszüge auf ihre Plau-sibilität geprüft werden können, konnte der Beschwerde nicht stattgegeben werden.

21. Beschwerde gegen die Erfassung des Geburtsdatums von Eltern

Ein Bürger beschwerte sich darüber, dass die Geburtsdaten von Eltern erfasst wer-den, deren Kinder eine Kindertageseinrichtung besuchen. Der Beschwerde konnte nicht abgeholfen werden, da nach überzeugender Darlegung der betreffenden Dienststelle sowohl für die Veranlagung, als auch im Rahmen des Beitreibungs- und Vollstreckungsverfahren von städtischen Gebühren aufgrund der hohen Anzahl von Schuldnern der Stadt ansonsten eine eindeutige Zuordnung der richtigen Schuldne-rin/des richtigen Schuldners und damit eine Vermeidung von Verwechslungen, die ebenfalls datenschutzrechtlich bedenklich sind, nicht möglich ist. Allerdings ist über die beim Landesbeauftragten für den Datenschutz in Bayern weiter verfolgte Beschwerde noch nicht abschließend entschieden worden.

Seite 19

22. Datenweitergabe aus der Einwohnermeldeamt an universitäre oder ähnliche For-schungseinrichtungen

Aufgrund des wenig bekannten Art. 28 Meldegesetzes ist es möglich, Adressenlisten von bestimmten Personengruppen, ausgewählt nach z. B. Geschlecht und Alter, an Universitäten und andere öffentliche Forschungseinrichtungen (z. B. Kliniken) zur Durchführung von Forschungsvorhaben zu senden. Gelegentlich kommt es dabei zu Beschwerden von Bürgerinnen und Bürgern, die sich darüber wundern, wieso sie von der Universität angeschrieben werden bzw. woher diese ihre Adresse kennt. Da hier eine gesetzliche Grundlage besteht, kann solchen Beschwerden nicht abgehol-fen werden.

23. Beschwerde eines Bürgers gegen einen Mitarbeiter des Sozialbürgerhauses wegen angeblicher Datenweitergabe an den Vermieter

Dem Bürger konnte in einem Antwortschreiben mitgeteilt werden, dass die von ihm befürchtete Verletzung seiner Datenschutzrechte nicht erfolgt war.

24. Neubürgerberatung:

Wie oben bereits im Rahmen des Freigabeverfahrens erwähnt (Abschnitt A Nr. 31), war es bereits zu zwei Beschwerden von neu zugezogenen Münchnern gekommen, die sich über die Zusendung entsprechenden Informationsmaterials beschwerten bzw. sich verwundert zeigten, wie ein externer Dienstleister an ihre Einwohnermel-dedaten gekommen sei. Aufgrund der bestehenden gesetzlichen Ermächtigungs-grundlage konnte den Bürgern die Auskunft erteilt werden, dass die vorgenommene Datenverarbeitung zulässig war. Um dies von vornherein klar zu stellen, wurde den Dienststellen, die am Projekt beteiligt sind, empfohlen, auf die Straßenverkehrsbe-hörde als zulässigen Datennutzer bereits beim Verteilen des Informationsmaterials hinzuweisen.

25. Das Einsammeln von Impfpässen an einem Gymnasium war datenschutzrechtlich zulässig.

26. Befragung von Tagesbetreuungspersonen

Eine Beschwerde betraf die Fragebogenaktion des Sozialreferats für Tagesbetreu-ungspersonen zur Klärung der Zuverlässigkeit. Aufgrund der in der Öffentlichkeit bekannt gewordenen Vorkommnisse von Kindesmisshandlungen und der besonde-ren Pflichten zur Wahrung des Kindeswohls für das Jugendamt war diese Beschwerde als nicht begründet abzuweisen.

F. Begründete Beschwerden

Im Berichtszeitraum gingen unmittelbar beim städtischen Datenschutzbeauftragten ins-gesamt 20 Beschwerden von Bürgerinnen und Bürgern ein, die als begründet anzuse-hen sind. Beispielhaft sind nachfolgende Fälle dargestellt:

Seite 20

1. Beschwerde wegen überfülltem Briefkasten bei einer städtischen Gebührenstelle

Die Beschwerde war begründet, da tatsächlich der genannte Briefkasten überfüllt war. Dadurch war der sichere Zugang der Post bei der städtischen Dienststelle nicht mehr gewährleistet. Damit konnte auch nicht ausgeschlossen werden, dass unbe-rechtigte Dritte sich Kenntnis von der eigentlich für die Stadt bestimmten Post hätten verschaffen können. Daher wurde die betreffende Dienststelle darauf hingewiesen, dass unbedingt auf eine zeitgerechte Leerung der Briefkästen zu achten ist.

2. Beschwerde wegen des Inhalts des Formblatts zur Gesundheitsuntersuchung zur Einschulung

Die betreffende Dienststelle im Referat für Gesundheit und Umwelt wurde gebeten, wegen des zweifelhaften Inhalts das Formblatt zur Gesundheitsuntersuchung zur Einschulung zu überarbeiten. Einzelne der damit abgefragten Daten waren nämlich nicht erforderlich für die Erfüllung der Aufgabe, bei Einschulung die gesundheitliche Eignung der Kinder festzustellen.

3. Einwilligungsformular

Aufgrund einer Beschwerde eines Bürgers bat der Landesbeauftragte für den Daten-schutz um Überarbeitung des Formulars der Einwilligungserklärung, das für die Datenerhebung, -verarbeitung und -nutzung durch das Amt für Wohnen und Migra-tion in verschiedenen Bereichen verwendet wurde. Es gab seinerseits insbesondere gegen die Notwendigkeit der Nutzung der abgefragten Daten Bedenken und gegen die hohe Zahl dritter Personen, bei denen Auskünfte eingeholt werden sollten. Zwi-schenzeitlich konnte diese Überarbeitung vorgenommen und das Formblatt dem Landesdatenschutzbeauftragten zu seiner Zufriedenheit übermittelt werden.

4. Beschwerde wegen möglicher Einsicht in Unterlagen durch Dritte bei Vorsprache im Stadtjugendamt

Ein Bürger trug vor, dass er von einem Bekannten erfahren habe, dass dieser bei einem Besuch der genannten Behörde die Akte des Beschwerdeführers mit dessen Namen und auch der Angelegenheit, wegen der dieser vorgesprochen hatte, auf dem Schreibtisch des Sachbearbeiters habe lesen können. Dem Petenten war dies besonders unangenehm, da es sich um einen Antrag auf Ermäßigung des Teilnah-mebeitrags für den Besuch einer Kindertageseinrichtung seines Kindes gehandelt hatte. Die betreffenden Mitarbeiter, gegen die sich diese Beschwerde gerichtet hatte, wurden darauf hingewiesen, bei künftigen Vorsprachen unbedingt darauf zu achten, dass keine Unterlagen und Akten anderer Bürgerinnen und Bürger einseh-bar für Dritte sind.

5. Falsch versandte Bewerbungsunterlagen

Aufgrund einer falsch kuvertierten Rücksendung von Bewerbungsunterlagen kam es zu einer Beschwerde des betreffenden Bewerbers. Da es sich um eine versehentlich unrichtig einsortierte Briefsendung handelte, erfolgte ein Entschuldigungsschreiben. Weitere Maßnahmen waren nicht erforderlich.

Seite 21

6. Bezieherlisten von Oktoberfestbewerbern

Es konnte hier eine unzulässige Datennutzung verhindert werden, da sich die betref-fende Dienststelle vor der Umsetzung ihres Wunsches nach der datenschutzrechtli-chen Zulässigkeit erkundigt hatte. Die für das Oktoberfest zugelassenen Bewerber sollten mittels einer Einwilligungserklärung mit ihren Daten in einer Beschickerliste aufgenommen und diese veröffentlicht und kostenpflichtig an Dritte weitergeben wer-den. Da damit ein gewerblicher Adresshandel von städtischer Seite vorgenommen worden wäre, musste das Anliegen trotz Einholung von Einwilligungen als unzuläs-sig beurteilt werden.

7. Beschwerde gegen Mitarbeiter des Stadtjugendamts

Einem telefonisch geäußerten Verdacht auf unzulässige Nennung eines Informanten wegen eines vermuteten Falles von Kindesmisshandlung konnte nicht weiter nach-gegangen werden. Der Beschwerdeführer wollte nämlich den Namen des städti-schen Mitarbeiters nicht nennen.

8. Sicherheitslücke bei den web-Seiten der Landeshauptstadt München

Diese Beschwerde betraf die unverschlüsselte Versendung der Bestätigungsmail nach Stellung eines Online-Antrags auf Erteilung einer Feinstaubplakette. Eine Abhilfe kann hier derzeit nicht erfolgen, da bei der Stadt München gegenwärtig aus technischen Gründen noch kein Verschlüsselungssystem eingesetzt werden kann. Es wird aber auf der Website der Landeshauptstadt München auf diese Tatsache hingewiesen. Bürgerinnen und Bürger können sich, wenn sie entsprechende Beden-ken gegen den Mailverkehr haben, nach wie vor auch auf herkömmliche Art und Weise an die Stadt wenden. In diesem Fall wird seitens der Stadt in gleicher Weise geantwortet.

9. Beschwerden wegen Veröffentlichung von personenbezogenen Daten auf der Web-site der Landeshauptstadt München

Es kommt gehäuft zu Beschwerden von Bürgerinnen und Bürgern, aber auch von städtischen Kolleginnen und Kollegen, die ihren eigenen Namen im Internet über Suchmaschinen recherchieren und dabei auf der städtischen Website fündig wer-den. Offenbar kommt es trotz bereits erfolgter Hinweise immer wieder vor, dass vor Veröffentlichung von Sitzungsunterlagen, insbesondere auch der beigefügten Anla-gen, sei es für Stadtrats-, sei es für Bezirksausschusssitzungen, im Ratsinformati-onssystem der Stadt München übersehen wird, personenbezogene Daten, also vor allem Namen von Antragstellern und Mitarbeitern ausreichend unkenntlich zu machen.

In einem Fall wurde die zuständige Geschäftsstelle für den betreffenden Bezirksaus-schuss darauf hingewiesen, dass bei Bürgeranträgen für den Bezirksausschuss diese nicht mit Angabe von Namen und Adressdaten veröffentlicht werden dürfen.

In einem anderen Fall konnte sich ein Beschwerdeführer über Internet-Suchmaschi-nen im städtischen Ratsinformationssystem wiederfinden, da er dort namentlich auf-geführt war. Die Löschung wurde veranlasst und darauf hingewiesen, dass Bürgerinnen und Bürger nur in anonymisierter Form zitiert werden dürfen.

Seite 22

Eine weitere Beschwerde betraf einen Fall aus dem Bereich der Zweckentfremdung, in dem die Beschwerdeführerin ihre Daten im RIS wiederfand. Hier erfolgte ebenfalls ein entsprechender Hinweis, auf Schwärzungen vor Veröffentlichung zu achten.

Ein Bürger wandte sich an den Bayerischen Landesbeauftragten für den Daten-schutz und beschwerte sich, da er im Zusammenhang mit der Bürgerbeteiligung für die seinerzeit geplante Errichtung einer Moschee am Gotzinger Platz in München im Internet auffindbar war. Die Prüfung ergab, dass trotz erfolgter Schwärzung Name und Adresse des Bürgers lesbar waren. Daher sah der Landesbeauftragte für den Datenschutz von einer förmlichen Beanstandung ab. Die Dienststelle wurde gebe-ten, künftig auf eine vollständige Anonymisierung von Namen vor deren Veröffentli-chung zu achten.

10. Namentliche Nennung bei Delegationsbeschlüssen des Stadtrats

Aufgrund einer Beschwerde eines ausgeschiedenen Mitarbeiters, die sich gegen seine namentliche Nennung in einem öffentlichen Stadtratsbeschluss wandte, der die Delegation von Personalzuständigkeiten betraf, wurde darum gebeten, künftig derartige Delegationsbeschlüsse in nichtöffentlicher Sitzung zu behandeln. Es han-delt sich hier um rein interne Organisationsentscheidungen, an deren Kenntnis sei-tens der Öffentlichkeit kein Interesse besteht.

G. Datenschutzrechtliche Prüfungen

Auch hier sind wiederum beispielhaft folgende Fälle erwähnenswert:

1. Zulässigkeit von Tonaufzeichnungen bei der Telefonzentrale

Aus Anlass von Drohanrufen waren die Voraussetzungen für den Einsatz von Ton-aufnahmegeräten im Telefonverkehr sowie die Zulässigkeit der Verwertung der ge-wonnenen Tonaufnahmen in etwaigen Gerichtsverfahren zu prüfen. Einschlägige Rechtsbereiche waren hier das Datenschutzrecht, aber auch das Fernmeldege-heimnis nach Telekommunikationsrecht sowie die Strafprozessordnung. Im Ergeb-nis konnte die Zulässigkeit in diesem Fall bejaht werden.

2. Bayerisches Umweltinformationsgesetz

Aufgrund einer Neufassung des Bayerischen Umweltinformationsgesetzes wurde für die städtische Bekanntgabe von Umweltdaten die Mitzeichnung des behördli-chen Datenschutzbeauftragten erforderlich, die unproblematisch erteilt werden konnte, da eine ausreichende gesetzliche Grundlage vorhanden ist.

3. Datenaustausch zwischen SWM und AfWM

Es existieren Vereinbarungen zwischen den Stadtwerke München GmbH und dem Amt für Wohnen und Migration, aufgrund derer ein Austausch von Daten im Einzel-fall zwischen beiden Stellen möglich ist. Die Zulässigkeit des Austausches war in ei-ner Bezirksausschusssitzung angezweifelt worden und musste daher vom Daten-schutzbeauftragten geprüft und bestätigt werden.

Seite 23

4. Bayerisches Schulverwaltungsprogramm

Der behördliche Datenschutzbeauftragte war zur Prüfung des Gesetzesentwurfs zur Änderung des Bayerischen Erziehungs- und Unterrichtsgesetzes - BayEUG - und Rechtsverordnungsentwurfs Amtliche Schuldaten - ASD - eingeschaltet worden. Es war die Abstimmung des PJD-Verfahrens zur Erstellung einer Schnittstelle zur amt-lichen Schuldatei mit den Personalverwaltungssystemen - PVS sowie paul@ - durchzuführen. Der Entwurf des Stadtratsbeschlusses wurde mitgezeichnet.

5. Trinkgelderannahme durch Mülllader

Wegen der Datensammlung des Abfallwirtschaftsbetriebs München - AWM - anläss-lich der Annahme von Trinkgeldern bei der Überbringung von Weihnachts- und Neu-jahrswünschen 2006/2007 wurde der behördliche Datenschutzbeauftragte um Aus-legung der Fristbestimmungen in der Dienstanweisung zur Trinkgeldsammlung der Mülllader des AWM gebeten.

6. Spam und Phising

Zur Abwehr der Gefahren durch Spam und Phising musste die Zulässigkeit einer dauerhaften Erhebung der entsprechenden Daten geprüft werden, um die Abwehr der von dieser Schadsoftware ausgehenden Gefahren für das städtische Netz zu ermöglichen.

7. Ausscheiden von Mitarbeitern

Beim Ausscheiden oder Wechsel zu anderen Dienststellen von Mitarbeiterinnen und Mitarbeitern war zu prüfen, wie die Zugriffsrechte auf deren gespeicherten Datenbe-stände zu behandeln sind, um Verletzungen von Datenschutzvorschriften zu ver-meiden.

8. S/Mime-Verschlüsselung

Wegen der Teilnahme der Ausländerbehörde am Projekt „Birgit” zum Datenaus-tausch mit der Polizei war zu beurteilen, ob dies im Rahmen einer S/Mime-Ver-schlüsselung zulässig ist.

9. Integrationskonzept des Sozialreferats

Im Rahmen der Umsetzung des Integrationskonzepts des Sozialreferats war die Zu-lässigkeit der Erhebung von Migrationsdaten anhand der Handlungsfelder und -ziele sowie der Indikatoren und Leitprojekte zu überprüfen.

10. Hacker-Paragraph

Die Fortschreibung des Strafgesetzbuches in §§ 202 a ff. und 303 a f. StGB zog Be-ratungsbedarf zur Frage nach sich, ob städtische Mitarbeiterinnen und Mitarbeitern für den Besitz und Einsatz sog. „Hacker-Tools” strafrechtlich zur Verantwortung ge-zogen werden können. Hierzu wurde ein Gutachten erstellt und ein Vortrag im UAK DaSi gehalten.

Seite 24

11. Vorratsdatenspeicherung

Anlässlich eines Dringlichkeitsantrags aus dem Stadtrat zur Verfassungsbeschwer-de gegen die Vorratsdatenspeicherung war eine Prüfung des Gesetzes zur Neure-gelung der Telekommunikationsüberwachung und anderer verdeckter Übermitt-lungsmaßnahmen sowie zur Umsetzung der entsprechenden EU-Richtlinie im Rah-men einer Beschlussvorlage erforderlich. Zwischenzeitlich wurde mit Urteil des Bun-desverfassungsgerichts vom 02.03.2010 das genannte Gesetz in der derzeitige Form für verfassungswidrig erklärt.

12. Einsicht in Unterstützerliste für die Kommunalwahl

Dem von Mitgliedern des ehrenamtlichen Stadtrats geäußerten Wunsch, in die Un-terstützerlisten für die Kommunalwahl beim Wahlamt Einsicht zu erhalten, konnte aus Datenschutzgründen mangels Rechtsgrundlage nicht entsprochen werden.

13. Schöffenvorschlagsliste

Bei Aufstellung der Wahlvorschlagsliste für die Tätigkeit als Jugendschöffe für die Wahlperiode 2009 - 2013 wurde festgestellt, dass die Beschlussfassung des Stadt-jugendamtes in nichtöffentlicher Sitzung zu erfolgen hat.

14. Weitergabe der Daten städtischer Auftragnehmer für ein Telefonbuch

Datenschutzrechtlich konnte die Zulässigkeit der Weitergabe einer Liste städtischer Auftragnehmer an einen Dritten mangels Personenbezugs (Firmendaten) bejaht werden.

15. Überlassungserklärung PDA

Die datenschutzrechtliche Überprüfung der vorgelegten Überlassungserklärung und Nutzungshinweise für den Einsatz von Personal Digital Assistants - PDA - war durchzuführen.

16. Namensgleichheit bei Mitarbeitern

Es kam zu Verwechslungen, insbesondere zum versehentlichen Versand von E-Mails oder von Einträgen im Elektronischen Terminkalender an namensgleiche bzw. namensähnliche Mitarbeiter. Es wurde daher darauf hingewiesen, dass entspre-chende Versendungen bzw. Einträge besonders sorgfältig vorzunehmen sind, um unzulässige Datenübermitlungen zu vermeiden.

17. Pasinger Fabrik GmbH

Anlässlich der Überprüfung des Geschäftsberichts 2004 der Pasinger Fabrik GmbH durch das Revisionsamt war die Zulässigkeit eines entsprechenden Stadtratsan-trags datenschutzrechtlich zu prüfen.

18. Schutzfristverkürzung

Nach § 9 Stadtarchiv-Satzung waren insgesamt zwölf Schutzfristverkürzungen da-tenschutzrechtlich zu überprüfen.

Seite 25

19. Notarzteinsätze

Die datenschutzrechtliche Zulässigkeit einer Auswertung der Notarzteinsätze für wissenschaftliche Zwecke war zu beurteilen; auf die erforderliche Anonymisierung wurde hingewiesen.

20. Telearbeit

Im Zusammenhang mit dem Vollzug der DV-Tele zur Einführung der verschiedenen Varianten von Telearbeit waren umfangreiche Beratungstätigkeiten in Zusammenar-beit mit dem örtlichen Datenschutzbeauftragten des POR erforderlich; so mussten Orientierungshilfen erarbeitet, Auslegungsregeln zu bestimmten Begriffen geprüft und entsprechende Vollzugsrundschreiben entwickelt werden.

21. Pflege von Websites

Die Zulässigkeit der Pflege von Websites eines Bezirksausschusses durch Externe war in datenschutzrechtlicher Hinsicht zu beurteilen. Das ist grundsätzlich bei Ein-haltung der Regeln zur Auftragsdatenverarbeitung möglich, soweit überhaupt perso-nenbezogene Daten betroffen sind.

22. EWO-Zugriff

Zum Zweck der Adressermittlung bei Bürgeranfragen im Direktorium, die per E-mail eingehen, war im Rahmen einer Voranfrage die datenschutzrechtliche Zulässigkeit eines derartigen Zugriffs auf die Einwohnermeldedatei zu beurteilen. Dies ist dann zulässig, wenn er zur Aufgabenerfüllung erforderlich ist. Soweit die Mails nicht auf gleichem Wege beantwortet werden können, etwa wegen der erforderlichen Über-tragung von sensiblen Daten in unverschlüsselter Weise, ist eine Beantwortung nur nach Ermittlung der postalischen Adresse möglich. Dafür aber muss ein Zugriff in die Einwohnerdatei erfolgen.

23. Fragebogen bei Bürgerversammlungen

Die Anfrage zur Erlaubnis einer Fragebogenaktion bei Bürgerversammlungen für Studienzwecke war positiv zu beantworten, da die Beantwortung freiwillig erfolgte.

24. LiMux-Lernwelt

Die zur Evaluation der Effizienz der LiMux-Lernwelt erforderliche Auswertung wurde geprüft und als datenschutzrechtlich zulässig beurteilt.

25. Anbindung an das Kraftfahrtbundesamt

Im Rahmen der technischen Netz-Anbindung der Landeshauptstadt München an das Kraftfahrtbundesamt (Management Summary) war rechtlich zu beurteilen, ob hier eine Haftung für das IT-Sicherheitskonzepts besteht, insbesondere in Fällen höherer Gewalt.

Seite 26

26. SoJa

Im Zusammenhang mit der geplanten Einführung einer Software für wirtschaftliche Jugendhilfe und soziale Arbeit - SoJa - ist im Rahmen der Vorabstimmung die Klä-rung verschiedener datenschutzrelevanter Fragen erforderlich geworden. So war zu prüfen, ob ein gemeinsam genutzter Grunddatenpool zulässigerweise von verschie-denen Dienststellen genutzt werden kann. Die Software wird noch nicht eingesetzt.

27. Debitorenanlage im Dresdner Modell

Die datenschutzrechtliche Problematik der Zulässigkeit der Speicherung von Ge-burtsdaten zum Zwecke der eindeutigen Identifikation von Schuldnern und Gläubi-gern war hier zu prüfen und konnte aufgrund einer entsprechenden Stellungnahme der Kämmerei bejaht werden. Dabei konnte ein Urteil des Bundesgerichtshofes zur vergleichbaren Problematik der Zulässigkeit der Speicherung im privaten Bereich zur Begründung herangezogen werden. Eine Bestätigung dieser Ansicht durch den Bayerischen Landesbeauftragten für den Datenschutz, dem eine Beschwerde hier-zu vorliegt, steht allerdings noch aus.

28. Amtshilfeersuchen des Landeskriminalamts

Die Zulässigkeit der Beobachtung eines Hauses durch das Landeskriminalamt von einem städtischen Dienstgebäude aus war zu überprüfen, da bei der geplanten Vi-deoüberwachung auch Mitarbeiterinnen und Mitarbeiter der Stadt betroffen waren. Die entsprechende Amtshilfe konnte aufgrund der gesetzlichen Vorschriften ermög-licht werden.

29. Zugriffe auf Wollmux-Formular

Bedenken von Mitarbeitern gegen die datenschutzrechtliche Zulässigkeit von refe-ratsübergreifenden Zugriffen auf Wollmux-Formblättern im Intranet konnten zer-streut werden.

30. Notebooks statt Desktops

Die Zulässigkeit des Einsatzes von Notebooks anstelle von Desktops für Organisati-onsberater des Personalreferats sowie für den Einsatz beim Sicherheitsdienst konn-te geklärt werden.

31. Nutzung des Google-Kalenders

Die Frage der Zulässigkeit der Kalenderfunktion von Google durch Bezirksaus-schussmitglieder war datenschutzrechtlich zu prüfen.

32. Gender Mainstreaming

Das Datenschutzkonzept einer Diplomarbeit für die Erstellung einer Arbeit über be-schäftigungspolitische Aspekte von Gender Mainstreaming war zu überprüfen.

Seite 27

33. Fortschreibung E-Mail-Dienstanweisung

Im Zusammenhang mit der automatisierten E-Mail-Löschung wurde überprüft, ob dadurch das Grundrecht aus Art. 10 GG sowie § 88 Telekommunikationsgesetz oder § 206 StGB berührt sein könnte. Dabei wurde auch die E-Mail-Dienstanwei-sung datenschutzgerecht fortgeschrieben.

34. Befragung von Leistungsbeziehern und Leistungsbezieherinnen gemäß SGB XII und SGB II

Es war zu überprüfen, ob die Übermittlung von Sozialdaten zu Zwecken von For-schung und Planung an nichtöffentliche Stellen möglich ist. Es sollte eine Befragung zur Erforderlichkeit des Angebots eines Sozialtickets bei der MVG im Rahmen einer Auftragsdatenverarbeitung an ein Forschungsinstitut vergeben werden. Dafür ist eine Genehmigung durch das Bayerische Staatsministerium für Arbeit und Soziales erforderlich, die nach einer aufwendigen Abklärung erteilt wurde. Anregungen von dort zur künftigen Einholung von Einwilligungen wurden übernommen.

35. Neujustierung der Organisationsstruktur im Kulturreferat

Anlässlich der neuen Organisationsstrukturen entstanden Probleme mit der Frage, inwieweit Mitarbeiternamen im Internet veröffentlicht werden können. Dies wird im stadtweiten Vergleich je nach Referat und dem dortigen Aufgabenspektrum unter-schiedlich gesehen. Den Referaten ist insoweit ein gewisser Beurteilungsspielraum zuzubilligen, zumal auch aufgrund neuerer Rechtsprechung bei dienstlichem Be-dürfnis Mitarbeiter sich gegen eine Veröffentlichung ihrer dienstlichen Daten nicht in jedem Falle verwahren können. Daher wurde darauf verzichtet, einheitlich diese Fragen zu regen. Inzwischen hat das Sozialreferat dazu eine Handlungshilfe er-stellt, die den örtlichen Datenschutzbeauftragten der anderen Referaten zur Verfü-gung gestellt wurde.

36. Online-Buchungen von Dienstreisen

Wegen der kostengünstigeren Umstellung auf Online-Buchungen von Dienstreisen gab es Anfragen wegen der damit verbundenen erforderlichen Übermittlung von Na-men und Geburtsdaten an Unternehmen, insbesondere an die Deutsche Bahn; au-ßerdem musste vom Personal- und Organisationsreferat die dienstrechtliche Ver-pflichtung auf Zustimmung zur Weitergabe von persönlichen Daten bei Online-Bu-chungen von Dienstreisen geprüft werden.

37. Veröffentlichung von Sitzungsprotokollen

Anlässlich eines entsprechenden Stadtratsantrags war datenschutzrechtlich zu überprüfen, ob Sitzungsniederschriften des Münchner Stadtrats im Internet veröf-fentlicht werden können.

38. Aufbewahrungsfristen bei Erziehungshilfe

Die Frage nach der Aufbewahrungsfrist von Handakten bei freien Trägern der Erzie-hungshilfe war zu klären.

Seite 28

39. Zusammenarbeit durch die Heimaufsicht

Es konnte bestätigt werden, dass die Übermittlung von Berichten der Heimaufsicht an andere Stellen unter Beachtung des Datenschutzes in anonymisierter Form möglich ist.

40. Zensus 2011

Mit der geplanten Einrichtung von Erhebungsstellen für die EU-weite Durchführung der Volkszählung im Jahr 2011 wurde der städtische Datenschutzbeauftragte im Hinblick auf die damit zusammenstehenden datenschutzrechtlichen Fragen einge-schaltet. Es ist damit zu rechnen, dass es zu einem erheblichen Anstieg von damit zusammenhängenden Anfragen und Beschwerden kommen wird, sobald die Befra-gungen stattfinden werden.

41. Bieterfragen bei Ausschreibungen

Anlässlich der Prüfung von Ausschreibungen stellte sich die Frage, welche Fragen von Bietern zulässigerweise beantwortet werden können.

42. Veröffentlichung des Potentials zur Nutzung von Solarenergie

Es war für das Referat für Gesundheit und Umwelt zu prüfen, ob datenschutzrecht-lich zulässigerweise das Potential für die Nutzung von Solarenergie bei Gebäuden veröffentlicht werden darf.

43. Meldedatenweitergabe

Die Beantwortung einer schriftlichen Anfrage aus dem Stadtrat zur Frage der Zuläs-sigkeit einer Meldedatenweitergabe war unter datenschutzrechtlichen Aspekten zu prüfen und mitzuzeichnen.

44. Sepa-Umstellung

Aufgrund der Beantwortung einer Anfrage des Sozialreferats durch die Stadtkäm-merei konnte zur Sepa-Umstellung im Zusammenhang mit dem IBAN-Konvertie-rungsservice - eine Umstellung der Banken bei Buchungen - die datenschutzrechtli-che Zulässigkeit bejaht werden.

45. Mitarbeiter-Monitoring

Der Fragebogen für eine Mitarbeiterbefragung war datenschutzrechtlich, insbeson-dere im Hinblick auf die erforderliche Anonymisierung, zu prüfen.

46. Prüfung einer Pressemitteilung

Aufgrund einer Anfrage des Sozialreferats war zu überprüfen, ob eine Pressemittei-lung eines Netzwerks für den öffentlichen Dienst zulässigerweise an die städtischen Mitarbeiter verteilt worden ist oder werden könnte, was abzulehnen war.

Seite 29

47. DMS bei Verschlusssachen

Anlässlich der Einführung des Dokumentenmanagementsystems war u. a. auch die Frage der Zulässigkeit der Verarbeitung von Verschlusssachen im DMS zu prüfen. Aufgrund der besonderen Sensibilität dieser Daten sollte darauf bis auf Weiteres verzichtet werden.

48. Lauschangriff am Orleansplatz

Anlässlich eines Kunstprojekt der Urbanauten („Lauschangriff“ am Orleansplatz) wurden Hinweise zur datenschutzgerechten Gestaltung dieses künstlerischen Vor-habens gegeben.

49. Stellenbewertung durch Eigenbetriebe

Die datenschutzrechtliche Zulässigkeit einer Stellenbewertung bei den Eigenbetrie-ben, insbesondere bei nur geringer Zahl gleichartiger Stellen in der gleichen Wertig-keit, war zu überprüfen.

50. Datenaustausch zwischen Meldebehörde, Jugend- und Gesundheitsamt

Die Frage nach der Zulässigkeit der Verwendung von Meldedaten für Hausbesuche von Kinderkrankenschwestern oder freien Trägern war datenschutzrechtlich auf Bit-te einer anderen Kommune zu überprüfen, deren geplantes Verfahren auf daten-schutzrechtliche Bedenken stieß. Es stellte sich heraus, dass bei der Landeshaupt-stadt München ein vergleichbares Verfahren nicht praktiziert wird.

51. Steuerdatenabrufverordnung

Aufgrund einer Bitte der Kämmerei konnte die datenschutzgerechte Umsetzung der Steuerdatenabrufverordnung in der Kämmerei bestätigt werden.

52. Google Street View

Aus Anlass entsprechender Anfragen aus dem Stadtrat war die Aufnahme und Ver-öffentlichung von Bildern im öffentlichen Straßenraum durch Google Street View da-tenschutzrechtlich zu beurteilen. Es kommt auch in der Folge immer wieder zu wei-teren Nachfragen seitens der Bürgerschaft sowie aus den Bezirksausschüssen, ob die Stadt hier nicht gegen die entsprechenden Aufnahmen bzw. deren Veröffentli-chung im Internet vorgehen könne. Die Aufnahmen als solches sind allerdings längst abgeschlossen, so dass hier ein Einschreiten ohnedies nicht möglich ist, zu-mal im Datenschutzrecht keine entsprechende Eingriffsbefugnis vorhanden ist. Ge-gen die Veröffentlichung der Daten können sich die Bürger aber selbst unmittelbar bei Google beschweren. Die Stadt München hat keinerlei Datenschutzaufsichtsbe-fugnisse gegenüber privaten Dritten. Auch in Bayern hat das zuständige Landesamt keine Aufsichtsbefugnis, da Google keine Niederlassung in Bayern hat. Zuständig in Deutschland ist der Hamburgische Landesdatenschutzbeauftragte, der auf seiner Website entsprechende Hinweise zu den rechtlichen Möglichkeiten veröffentlicht hat (http://www.hamburg.de/datenschutz/).

Aufgrund einer Nachfrage von Google wurde die Möglichkeit zu Aufnahmen auf dem Oktoberfest datenschutzrechtlich dahingehend für zulässig erachtet, dass dies außerhalb der Öffnungszeiten erfolgen sollte, da dann die Übermittlung von perso-

Seite 30

nenbezogenen Daten an Google Street View nicht zu befürchten war. Etwaige Lie-feranten etc. durften von Google aber nicht aufgenommen bzw. mussten unkennt-lich gemacht werden.

53. Weitergabe von Meldedaten

Anlässlich der 371. Präsidiumssitzung des Deutschen Städtetags war eine Stellung-nahme zu TOP 7 - Bundesmelderegister und Weitergabe von Meldedaten - vom KVR erbeten worden.

54. Die Übersendung von Überstundenlisten an den örtlichen Personalrat war daten-schutzrechtlich zu überprüfen.

55. Newsletter des Tourismusamts

Aufgrund einer entsprechenden Bitte des Tourismusamts wurde gebeten, schon im Rahmen der Ausschreibung der Erstellung eines Newsletters entsprechende Daten-schutzanforderungen zu stellen.

56. Videoüberwachung am Orleansplatz

Die vom Kreisverwaltungsreferat erstellte Beschlussvorlage zu einem entsprechen-den Stadtratsantrag wurde datenschutzrechtlich gewürdigt. Zu dieser Videoüberwa-chung des Orleansplatzes gibt es immer wieder Nachfragen und Antragstellungen seitens des Stadtrats, von Anliegern, insbesondere Gewerbetreibenden, die sich von einer Videoüberwachung einen abschreckenden Effekt im Hinblick auf die Kri-minalität versprechen, aber auch verschiedentlich Beschwerden aus der Bevölke-rung. Für die datenschutzrechtliche Beurteilung kommt es darauf an, ob diese Maß-nahme aus Sicherheitsgründen geboten ist oder die Bürgerinnen und Bürger unzu-lässig in ihrer Bewegungsfreiheit einschränkt.

Für diese Überwachungsmaßnahme ist jedoch nicht die Stadt datenschutzrechtlich zuständig, da die Polizei auf deren Rechtsgrundlage (Polizeiaufgabengesetz) die Anlage betreibt und die gewonnenen Daten auswertet.

57. Dokumentenmanagementsystem

Bei der Einführung eines Dokumentenmanagementsystems zur Erstellung ärztlicher Gutachten war neben der örtlichen Datenschutzbeauftragten des zuständigen Refe-rates für Gesundheit und Umwelt auch der städtischen Datenschutzbeauftragte be-reits mehrfach beteiligt. Aufgrund verschiedener technischer Umsetzungsschwierig-keiten sowie von Meinungsverschiedenheiten mit dem Landesbeauftragten für den Datenschutz ist das Verfahren noch nicht abgeschlossen. Des Weiteren ist derzeit lediglich noch im Rahmen eines PJD-Verfahrens ein Antrag auf Einführung eines Dokumentenmanagementsystems für die im Kreisverwaltungs-referat zuständige Waffenabteilung anhängig, aber ebenfalls noch nicht abschlie-ßend entschieden.

58. Einheitliche Behördennummer D-115

Anlässlich einer Sitzung des Deutschen Städtetages - Rechts- und Verfassungsaus-schuss - war eine datenschutzrechtliche Beurteilung zur geplanten Einführung der einheitlichen Behördennummer D-115 erforderlich.

Seite 31

59. Unterrichtungslisten für den Bezirksausschuss

Die Zulässigkeit der Übermittlung von Unterrichtungslisten von Bauanträgen und Bauvorbescheiden an die Bezirksausschüsse durch das Planungsreferat war in da-tenschutzrechtlicher Hinsicht zu beurteilen.

60. Veröffentlichung des städtischen Fortbildungsverzeichnisses

Aufgrund einer Anfrage des Personalreferats wurde geprüft, ob das städtische Fort-bildungsverzeichnis im Internet wegen der dort auch enthaltenen personenbezoge-nen Daten der Referentinnen und Referenten bzw. der städtischen Ansprechpartner veröffentlicht werden kann. Ergebnis war, dass dies nur mit deren schriftlichen Ein-willigung vorgenommen werden sollte.

61. ELDIS-System

Anlässlich einer entsprechenden Anfrage konnte die Zulässigkeit der Telefondaten-speicherung und -auswertung bei der Feuerwehr bestätigt werden.

62. Türöffnungsanlagen

Anlässlich einer Anfrage der Villa Stuck konnte mitgeteilt werden, dass hier kein da-tenschutzrechtliches Freigabeverfahren für eine Videoüberwachung durchzuführen ist, da keine Aufzeichnung erfolgt.

63. Passwortregelungen

Im Rahmen der Teilnahme am Unterarbeitskreis Datenschutz und Datensicherheit wurden Hinweise für die erforderlichen Passwortwechsel unter LiMux erarbeitet und eingestellt.

64. Weiterleitung von E-Mails an Sterbeunterstützungsvereinigung

Es konnte auf einen Antrag des Personal- und Organisationsreferats hin eine befris-tete Genehmigung der automatischen Weiterleitung von E-Mails erteilt werden.

65. Datensicherung

Auf Wunsch des Kulturreferats wurde zur Archivierung und der damit verbundenen Erfordernisse für die Datensicherung Stellung genommen.

66. Datenübermittlung per E-Mail

Wegen des grundsätzlichen Verbots der unverschlüsselten E-Mail-Übermittlung außerhalb der Domain @muenchen.de in der einschlägigen städtischen Dienstan-weisung konnte die gewünschte Übermittlung von Sozialdaten per ungesicherter E-Mail-Verbindung nicht genehmigt werden.

Gleiches gilt für einen Antrag des Stadtjugendamtes, der damit begründet wurde, dass sich die Unterhaltspflichtigen bei Unterhaltsforderungen oft im Ausland befin-den und nur über E-Mail mit dem Jugendamt kommunizieren wollen. Häufig sei auch keine postalische Anschrift bekannt oder ermittelbar.

Seite 32

In diesem Fall konnte die Genehmigung nicht erteilt werden, da es sich in aller Regel um äußerst sensible Daten handelt und E-Mails wie offene Postkarten anzu-sehen sind. Außerdem wären auch Daten der unterhaltsberechtigten Minderjährigen sowie deren Elternteile, die in Deutschland leben, betroffen. Deren erforderliche Einwilligungen wären praktisch kaum einholbar gewesen.

Auch aus dem Kassen- und Steueramt ist ein Antrag auf Erteilung einer Ausnahme-genehmigung nach der E-Mail-Dienstanweisung gestellt worden. Der Antrag bezog sich darauf, dass eine für Auslandsvollstreckungsersuchen zuständige Stelle des Bundes seit Januar 2009 entsprechende Vollstreckungsersuchen nur noch in elek-tronischer Form entgegen nimmt. Dazu waren verschiedene Nachfragen erforder-lich, wobei sich herausstellte, dass hier ein eigenes geschlossenes Netz bei der Finanzverwaltung existiert. Eine Lösung erscheint über einen Anschluss der Stadt daran u. a. für derartige Vollstreckungsersuchen möglich.

Hingegen kann sogar entsprechenden Bitten von Steuerpflichtigen, Auskünfte per E-Mail zu erhalten, nicht gefolgt werden, da dem das Steuergeheimnis nach § 30 Abgabenordnung – AO – entgegensteht.

67. Beschlagnahme von Protokolldaten

Aus Anlass des Verdachts gegen Mitarbeiter des Kreisverwaltungsreferats, zuguns-ten einer Diebesbande Halterermittlungen durchgeführt zu haben, konnte der Be-schlagnahme von Protokolldaten aus dem Fahrzeugregister zugestimmt werden, um entsprechende Ermittlungen der Strafverfolgungsbehörden zu unterstützen. Die unzulässiger Weise übermittelten Daten von Fahrzeughaltern waren schon zur Be-gehung von Eigentumsdelikten genutzt worden.

68. Wirtschaftsgruppenauswertung

Im Rahmen des § 30 AO war zu prüfen, ob die Veröffentlichung der Auswertung der Gewerbesteuer gegliedert nach Wirtschaftsgruppen für den Stadtrat zulässig ist. Durch die Aggregation von Daten war fraglich, ob eine Reidentifizierbarkeit bei den statistischen Auswertungen möglich ist. Letztlich konnte durch eine geringfügige Umstellung die Veröffentlichung der Daten ermöglicht werden.

69. Automatisierter Abgleich von Arbeitnehmerdaten

Im Zusammenhang mit der Presseberichterstattung über entsprechende Maßnah-men der Deutschen Bahn zur Korruptionsbekämpfung war für das städtische Veröf-fentlichungsorgan Stadtbild eine Stellungnahme erwünscht, wie sich dies bei der städtischen Belegschaft verhält. Es konnte die Auskunft erteilt werden, dass solche Maßnahmen weder vorgenommen werden noch geplant sind, wobei unter bestimm-ten Voraussetzungen derartiges zur Korruptionsbekämpfung durchaus auch daten-schutzgerecht ausgestaltet werden kann, was aber bei der Deutschen Bahn nicht der Fall war.

70. Bußgeldverfahren nach Art. 37 BayDSG

Für das Kreisverwaltungsreferat musste beurteilt werden, ob das Kfz-Halterregister als offenkundig im Sinne von Art. 37 BayDSG anzusehen ist. Dies hätte zur Folge, dass zu Unrecht erlangte Auskünfte aus diesem Register nicht nach dieser Vor-schrift bußgeldbewehrt wären. Da für die Erteilung einer Auskunft ein berechtigtes

Seite 33

Interesse regelmäßig erforderlich ist, wird man die Offenkundigkeit der so erlangten Daten zu den Fahrzeughaltern im Regelfall verneinen müssen; es gibt hierzu aber auch abweichende Ansichten in der Rechtsprechung.

71. Erteilung von Auskünften aus dem Personenstandsregister

Gelegentlich kam es zu entsprechenden Anfragen, Auskünfte aus Personenstands-büchern zu erhalten. Soweit diese für wissenschaftliche Arbeiten oder Forschungs-projekte erforderlich waren, konnten die gewünschten Informationen in der Regel erteilt werden.

72. Mitteilung der Namen von Antragstellern

Aufgrund einer entsprechenden Nachfrage aus dem Stadtrat wurde mitgeteilt, dass es datenschutzrechtlich nicht zulässig ist, die Namen von Antragstellern auf Errich-tung eines Sandstrandes an der Corneliusbrücke mitzuteilen, da weder eine gesetz-liche Rechtsgrundlage für eine solche Auskunftserteilung noch eine Einwilligung der Betroffenen vorlag.

73. Bürgerversammlungen im Internet

Dem entsprechenden Wunsch, die Bürgerversammlungen als Webstream ins Inter-net einzustellen, konnte einerseits aus Datenschutz-, andererseits aus Praktikabili-tätsgründen nicht zugestimmt werden.

74. Herausgabe des städtischen Telefonbuchs

Auf Bitte des Baureferats, das federführend für die Pflege und Herausgabe des städtischen Telefonbuches zuständig ist, wurde beratend mitgearbeitet an der Fra-ge, ob das Telefonbuch, das städtische Mitarbeiterdaten (Vor- und Nachnamen, dienstliche Adresse und Telefonnummer) enthält, veröffentlicht werden kann. Diese Veröffentlichung soll auch in elektronischer Form auf den bisherigen Umfang be-schränkt bleiben. Weiterhin war ein Formulierungsvorschlag für die Startseite der auf CD-ROM künftig zu übermittelnden Telefonbuchausgabe zu entwickeln.

Auch entsprechende Wünsche beurlaubter Mitarbeiter konnten durch auszugsweise Überlassung von Teilbereichen des elektronischen Telefonbuchs der Stadt erfüllt werden.

75. Auskunftsersuchen eines ausländischen Kulturinstituts

Einem entsprechenden Ersuchen auf Übersendung von Namenslisten derjenigen Personen des ausländischen Staates, die die Stadtverwaltung als Gäste (z. B. im Rahmen einer Delegation) besuchen, konnte nicht entsprochen werden. Zum einen gibt es keine derartigen Namenslisten in der Stadt, zum anderen ist eine entspre-chende gesetzliche Grundlage bzw. Einwilligung der Betroffenen nicht vorhanden.

76. Mitarbeiterdaten bei Einsicht in Akten der ARGE

Anlässlich eines Anrufs aus der Personalvertretung wurde geprüft, ob es bei Ein-sicht in Akten der ARGE einen Anspruch darauf gibt, diese ausschließlich in elektro-nischer Form zu erhalten. Dies war dahingehend zu beantworten, dass auch in aus-gedruckter Form, wobei nur dort die Möglichkeit zur Schwärzung insbesondere von

Seite 34

Mitarbeiternamen besteht, dem Auskunftsersuchen ausreichend Rechnung getra-gen wird. Es gibt nämlich keine gesetzliche Regelung, die die Erteilung von Aus-künften auf bestimmte Formen beschränkt.

77. EAP und Sicherheitsanforderungen

Anlässlich der Umsetzung der europarechtlichen Dienstleistungsrichtlinie und der geplanten Errichtung eines einheitlichen Ansprechpartners bei der Landeshaupt-stadt München waren umfangreiche Beratungstätigkeiten zu den Sicherheitsanfor-derungen aus Sicht des Datenschutzes erforderlich. Hierzu gab es mehrere Ge-spräche und Untersuchungen hinsichtlich der Rechtslage, z. B. zu den Änderungen des Verwaltungsverfahrensrechts etc. Letztlich ist zwischenzeitlich eine Lösung durch Einrichtung eines Web-Postfaches gefunden worden, in dem sich Dienstleis-ter, die sich an den Einheitlichen Ansprechpartner wenden, ihre Post über gesicher-te Leitungen abholen können.

78. Datenschutzbeauftragter der Volkshochschule gGmbH - VHS -

Auf Bitte der VHS gGmbH wurde geprüft, ob diese einen eigenen Datenschutzbe-auftragten zu bestellen hat. Die VHS ist wegen der Erfüllung öffentlicher Aufgaben ebenfalls dem Bayerischen Datenschutzrecht unterstellt. Allerdings handelt es sich um eine eigene speichernde Stelle, die nach Art. 25 Abs. 2 BayDSG einen ihrer Be-schäftigten zum behördlichen Datenschutzbeauftragten zu bestellen hat. Demnach kann keine externe Person damit beauftragt werden. Zulässig wäre allerdings, dass der behördliche Datenschutzbeauftragte der Landeshauptstadt diese Aufgabe mit übernimmt, Art. 25 Abs. 2 Satz 2 BayDSG, was aber aufgrund mangelnder Kapazi-täten abgelehnt wurde.

79. Werbeaktion der Sterbeunterstützungsvereinigung

Aufgrund einer Bitte des Personal- und Organisationsreferats wurde einer einmali-gen Werbeaktion der Sterbeunterstützungsvereinigung der Beschäftigten der Stadt München über ein Adressermittlungsverfahren zugestimmt. Dabei werden dem Ver-ein keine Mitarbeiterdaten übergeben, sondern diese entsprechend vom POR infor-miert, so dass keine Datenherausgabe durch die Stadt vorlag.

80. Datenschutzanfrage aus dem Schulbereich

Es handelte sich hierbei um eine Elterndatenbank bei einer privaten Schule, so dass keine städtische Zuständigkeit gegeben war.

81. Gesundheitsbezogene Verbraucherinformation

Das Referat für Gesundheit und Umwelt wurde darüber informiert, dass nach einer entsprechenden Entscheidung des Verwaltungsgerichts Stuttgart bei einem Verstoß gegen entsprechende lebensmittelrechtliche Vorschriften die Behörde auch Name und Anschrift der Verantwortlichen im Internet veröffentlichen darf, nicht jedoch Te-lefon- und Faxnummern.

Seite 35

82. Überprüfung eines städtischen Gymnasiums durch den Landesdatenschutzbeauf-tragten

Der Landesdatenschutzbeauftragte überprüfte die Einhaltung der datenschutzrecht-lichen Vorschriften nach Art. 30 BayDSG bei einem städtischen Gymnasium. Die Prüfung fand im Beisein der zuständigen örtlichen Datenschutzbeauftragten des Schulreferats statt und führte zu keinen größeren Beanstandungen.

83. „München dankt”

Aufgrund einer entsprechenden Nachfrage wurde geprüft, ob für das Vorhaben „München dankt!” eine datenschutzrechtliche Freigabe erforderlich ist. Zwar ist für die Aufgabe, Ehrungen zu vergeben, eine Datenerhebung und -nutzung als zulässig anzusehen; eine datenschutzrechtliche Freigabe ist aber mangels gesetzlicher Aus-nahmeregelungnicht entbehrlich, so dass die betreffende Stelle darauf hingewiesen wurde, dass ein Freigabeverfahren durchzuführen ist.

84. Datenschutz bei Online-Umfragen

Anlässlich einer Anfrage seitens des Kreisverwaltungsreferats, das eine Online-Um-frage durch einen Auftragnehmer durchführen wollte, war zu prüfen, ob bei Erhe-bung bzw. Speicherung von IP-Adressen, über die der jeweilige Nutzer eines Inter-netanschlusses feststellbar ist, ein Personenbezug im datenschutzrechtlichen Sinne gegeben ist oder nicht. Diese Frage ist im Einzelfall strittig. Im vorliegenden Fall wurde die Meinung vertreten, dass mit dem hier örtlichen zuständigen Amtsgericht München davon auszugehen sei, dass nur ein relativer Personenbezug bei IP-Adressen gegeben ist. Die geplante Online-Umfrage konnte somit mangels Perso-nenbezogenheit der erhobenen Daten ohne datenschutzrechtliches Freigabeverfah-ren durchgeführt werden.

85. MFM

Zum Münchner Facility Management war die Zulässigkeit der Inhalte einer Auftrag-nehmerdatenbank, insbesondere die Aufnahme von personenbezogenen Daten, z. B. Ansprechpartnern, Firmeninhabern, zu prüfen. Die Einrichtung einer Daten-bank mit Auftragnehmerdaten ist, soweit die Daten auch nach Abwicklung der ein-zelnen Vertragsverhältnisse dort verbleiben sollen, und eine weitere Speicherung somit nicht mehr erforderlich wäre, nur mit Einwilligung der Betroffenen zulässig.

86. Veröffentlichung von Bezirksausschussprotokollen

Aufgrund entsprechender Anträge aus zwei Bezirksausschüssen wurde auf die Pro-blematik der Veröffentlichung von Sitzungsprotokollen, ob im Internet oder in einer anderen Art und Weise, hingewiesen und die hier eher ablehnende Meinung des Bayerischen Landesbeauftragten für den Datenschutz dargestellt. Die verschiede-nen Fallkonstellationen wurden entsprechend datenschutzrechtlich bewertet.Über-sendung von Sitzungsvorlagen in elektronisch bearbeitungsfähigen Formaten.

Dieser Bitte aus dem Stadtrat zur Übersendung von Sitzungsvorlagen in elektro-nisch bearbeitungsfähigen Formaten konnte nicht entsprochen werden, da hier eine ungeschützte Übersendung mangels gesicherter Leitung vorliegt. Außerdem wer-den in nichtöffentlichen Sitzungen auch personenbezogene Daten behandelt, die nicht veröffentlicht werden dürfen.

Seite 36

87. Zugriff auf das Ausländerzentralregister

Beim Ausländerzentralregister handelt es sich nicht um ein Verfahren der Stadt München, so dass hier keine datenschutzrechtliche Freigabe seitens des behördli-chen Datenschutzbeauftragten zu erteilen war. Für die zu treffenden Maßnahmen zur Datensicherung ist die jeweilige Stelle, die den Zugriff benötigt - das war in die-sem Fall das Sozialreferat - verantwortlich. Es hat einen entsprechenden Antrag zu stellen und die in § 9 Bundesdatenschutzgesetz geregelten technischen und organi-satorischen Maßnahmen zu gewährleisten.

88. Aufbewahrungsfristen und Auskunftsrechte

Anlässlich des Bekanntwerdens einer Entscheidung des EuGH wurde der Bayeri-sche Landesbeauftragte für den Datenschutz über die Auswirkungen auf das Mel-deregister befragt. Nach dortiger Auskunft ist die zwischenzeitlich ausschließliche Gesetzgebungskompetenz des Bundes von diesem in der letzten Legislaturperiode nicht mehr abschließend wahrgenommen worden. Bei einem Wiederaufgreifen des Gesetzgebungsverfahrens durch den Bundesgesetzgeber werde der Bundesbeauf-tragte für den Datenschutz und die Informationsfreiheit im Gesetzgebungsverfahren beteiligt werden.

89. Auskunftsersuchen zu Waffenbesitz

Einem entsprechenden Auskunftsansinnen eines Gläubigers zum Waffenbesitz sei-nes Schuldners konnte nicht nachgekommen werden, da das Auskunftsrecht nach Art. 19 BayDSG nicht zu entsprechenden Auskünften berechtigt.

90. Gewinnspiel Münchner Philharmoniker

Die Münchner Philharmoniker, eine Einrichtung der Landeshauptstadt München, veranstalteten ein Gewinnspiel. Die dafür zu erklärende Einwilligung der Teilnehmer zur Datenverarbeitung war zu überprüfen.

91. LDAP-Sicherheit

Bei der Stadtkämmerei kamen hinsichtlich des städtischen Verzeichnisdienstes LDAP Sicherheitsbedenken auf, die eine Beratung durch den Datenschutzbeauf-tragten erforderten. In Zusammenarbeit mit der IT-Sicherheit konnte eine zufrieden-stellende Lösung erreicht werden.

92. Datenschutzrechtliche Prüfung von Verbesserungsvorschlägen

Gelegentlich wurde Verbesserungsvorschläge eingereicht, die datenschutzrechtlich zu beurteilen waren. So war die gewünschte verbesserte Zusammenarbeit durch einen Datenaustausch zwischen Kassen- und Steueramt und Amt für Wohnen und Migration aufgrund deren datenschutzrechtlichen Unzulässigkeit nicht möglich.

Ebenfalls als Verbesserungsvorschlag wurde eine Verpflichtung für städtische Mit-arbeiter angeregt, bei Sitzungen Namensschilder zu tragen. Dies wurde im Beneh-men mit dem Personalreferat dahingehend beantwortet, dass eine Rechtsgrundlage für eine entsprechende Verpflichtung nicht ersichtlich ist und diese sicherlich teilwei-se wünschenswerte Möglichkeit freiwillig eröffnet werden sollte.

Seite 37

93. Zuschussgewährung an einen Verein

Das Finanzamt richtete ein Auskunftsersuchen an die Stadt, um zu klären, ob ein Verein städtische Zuschüsse erhalten habe. Die zuständige Dienststelle fragte an, ob dem datenschutzrechtlich stattgegeben werden konnte. Dies war nicht daten-schutzrechtlich zu beurteilen, da es sich nicht um eine natürliche Person handelte. Nur der Schutz der Daten natürlicher Personen unterliegt dem Datenschutzrecht, Art. 1 BayDSG.

94. Portal der KGSt

Trotz einer unverschlüsselten Anmeldung war datenschutzrechtlich eine Pflicht zur namentlichen Registrierung bei der KGSt in deren Portal zulässig, da für die Regis-trierung auch fiktive Namen eingetragen werden können.

95. Beauftragung eines Mitarbeiters eines Stadtrats

Auf Wunsch eines Stadtrats wurde dieser beraten, wie Mitarbeiter mit Stadtratstätig-keiten datenschutzgerecht beauftragt werden können.

96. Informationsfreiheitssatzung

Aufgrund von entsprechenden Satzungen in anderen bayerischen Kommunen kam es erneut zu Anträgen aus dem Stadtrat mit dem Ziel, über die Erfahrungen dieser Gemeinden zu berichten und für die Stadt München ebenfalls eine entsprechende Satzung zu erlassen. Da die anderen Gemeinden die Satzungen erst kurz zuvor er-lassen hatten, war eine abschließende Behandlung der Stadtratsanträge im Be-richtszeitraum noch nicht möglich.

97. Illegale Shoppingnächte

Es kam zu Beschwerden aufgrund illegaler Shoppingnächte im Münchner Einzel-handel. Die erbetene Anfrage aus dem Münchner Stadtrat zu den betroffenen Un-ternehmen war auch datenschutzrechtlich zu überprüfen. Es ging hier nicht um Da-ten von Einzelpersonen, so dass das BayDSG nicht anwendbar war. Jedoch sind im Rahmen von Art. 30 Bayerisches Verwaltungsverfahrensgesetz - BayVwVfG - ge-wisse Geheimhaltungsverpflichtungen der Verwaltung auch hinsichtlich der Daten von Unternehmen anzunehmen. Dies gilt insbesondere zum konkreten Ausgangs von Ordnungswidrigkeitenverfahren, da damit ein entsprechender Ansehensverlust der betroffenen Firmen verbunden sein kann.

Seite 38

II. Bekannt gegeben

Der Stadtrat der Landeshauptstadt München

Der / Die Vorsitzende Der Referent

Bürgermeister/-in Christian Udeea. Stadtrat / ea. Stadträtin Oberbürgermeister

III. Abdruck von I. mit II.über den Stenografischen Sitzungsdienst

an das Direktorium - Dokumentationsstellean die Stadtkämmereian das Revisionsamtz. K.

IV. Wv. Direktorium - Rechtsabteilung / Datenschutzbeauftragter